해양분야 관련 한글(HWP) 악성코드 유포 중

ASEC 분석팀은 지난 5월 “악성 한글문서(.hwp) 주제별 연관성 분석“이라는 제목으로 분석 정보를 공유하였다.

https://asec.ahnlab.com/1325

금일 확인된 한글 악성코드는 위 게시글에서 언급한 3가지 주제 중 “해양분야”에 속하며, 5월에 유포된 EPS 코드와 비교하였을 때 EPS 코드 인코딩을 하지 않은 것이 특징이다. 이는 보안 제품 탐지 우회를 위해 EPS 코드 패턴을 달리한 것으로 추정된다.

[그림 1] 금일 확인된 악성 한글문서 내용
[그림 2] 지난 5월 악성 한글문서 EPS 코드 비교

전체적인 쉘코드 실행 방식은 지난 5월에 유포된 악성코드(“부동산 투자관련 메일로 유포 중인 한글 악성코드“)와 상당히 유사하였다.

https://asec.ahnlab.com/1323

쉘코드가 동작하면 %appdata%MicrosoftInternet Explorer 경로에 security.vbs가 생성되어 추가 악성 DLL을 다운로드 받아 regsvr32.exe를 통해 실행된다. ([1] ~ [2] 과정)

[1] 로컬 환경(x86, x64)에 따른 BASE64 인코딩 파일 다운로드

– 다운로드된 파일은 %appdata%MicrosoftInternet Explorer 경로에 “security.db”라는 파일명으로 저장된다.

[그림 3] security.vbs 파일 일부 (1)

[2] regsvr32.exe를 통한 악성 DLL 실행

[그림 4] security.vbs 파일 일부 (2)

추가 악성 DLL 다운로드 주소 (현재 다운로드 불가)

– https[:]//techimplement.com/wp-content/uploads/wp-logs/mailchimp.php

이처럼 악성 한글문서는 특정 조직을 타겟으로 공격을 수행하기 때문에 출처가 불분명한 메일 및 첨부파일은 열람하지 않도록 사용자들의 각별한 주의가 필요하다.

현재 V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 차단하고 있다.

– Exploit/EPS.Generic (2020.06.29.09)

0 0 votes
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments