ASEC 분석팀에서는 한동안 유포가 뜸했던 악성 한글(HWP) 파일을 확인하였다. 올 해 4월을 마지막으로 게시된 HWP 파일의 경우에도 내부에 악성 링크 개체를 삽입한 것으로 이번에 확인된 악성 EPS가 삽입된 것은 올해들어 처음 확인된 케이스이다. VirusTotal에도 업로드 되어있는 파일로 누군가 업로드시 ‘test.hwp’, ‘123.hwp’명으로 업로드 한 것으로 보아 테스트 단계로 제작했을 가능성도 배제할 수 없다.
다만 최근 게시한 ‘특정 항공사 자소서 위장‘의 악성 RTF와 내부 쉘코드가 동일하게 사용되었다는 점이 주목할만 하다. 이 쉘코드를 통해 연결 시도했던 악성 URL은 이전 게시글에서 언급했던 것과 같이 2019년 악성 HWP파일이 사용했던 것이기도 하다.
해당 문서의 본문 내용은 코로나19 긴급재난지원금 신청을 위한 개인정보 수집 동의서 형태이며 마지막 수정한 날짜가 이번달인 10월 초로 되어있다. 기존의 정상적인 문서를 편집했을 것으로 추정된다.
내부에 삽입된 악성 EPS의 PS(Post Script)코드는 인코딩 되어 있으며 복호화 시 내부 Shellcode를 확인할 수 있다.
최종적으로 아래 URL에서 추가 파일을 다운로드 받아 explorer.exe에 인젝션하여 동작할 것으로 보이나 현재는 해당 주소에서 추가 데이터를 받아오지 못하여 이후 기능은 확인이 어렵다.
- hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.png
- hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.jpg
해당 EPS 취약점은 2017년에 취약점 패치가 되어 최신 한글 버전에서는 악성 발현이 불가능하다. 사용자들은 출처가 분명하지 않은 문서의 열람을 자제해야하며 사용하는 응용 프로그램 및 V3를 최신 버전으로 업데이트하여 사용해야한다. 해당 악성코드는 V3에서 아래와 같이 탐지 중이다.
[파일 진단]
Exploit/HWP.Agent
Exploit/HWP.Generic
[행위 진단]
Malware/MDP.Behavior.M2411
[IOC]
e1f94437ea6cff17ea718bd152a9167f
9f03fd9d9703ce32fac2967f6bde1e08
hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.png
hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.jpg
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보