ASEC 분석팀은 지난 5월 “악성 한글문서(.hwp) 주제별 연관성 분석“이라는 제목으로 분석 정보를 공유하였다.

금일 확인된 한글 악성코드는 위 게시글에서 언급한 3가지 주제 중 “해양분야”에 속하며, 5월에 유포된 EPS 코드와 비교하였을 때 EPS 코드 인코딩을 하지 않은 것이 특징이다. 이는 보안 제품 탐지 우회를 위해 EPS 코드 패턴을 달리한 것으로 추정된다.


전체적인 쉘코드 실행 방식은 지난 5월에 유포된 악성코드(“부동산 투자관련 메일로 유포 중인 한글 악성코드“)와 상당히 유사하였다.

쉘코드가 동작하면 %appdata%MicrosoftInternet Explorer 경로에 security.vbs가 생성되어 추가 악성 DLL을 다운로드 받아 regsvr32.exe를 통해 실행된다. ([1] ~ [2] 과정)
[1] 로컬 환경(x86, x64)에 따른 BASE64 인코딩 파일 다운로드
– 다운로드된 파일은 %appdata%MicrosoftInternet Explorer 경로에 “security.db”라는 파일명으로 저장된다.

[2] regsvr32.exe를 통한 악성 DLL 실행

추가 악성 DLL 다운로드 주소 (현재 다운로드 불가)
– https[:]//techimplement.com/wp-content/uploads/wp-logs/mailchimp.php
이처럼 악성 한글문서는 특정 조직을 타겟으로 공격을 수행하기 때문에 출처가 불분명한 메일 및 첨부파일은 열람하지 않도록 사용자들의 각별한 주의가 필요하다.
현재 V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 차단하고 있다.
– Exploit/EPS.Generic (2020.06.29.09)
Categories:악성코드 정보