악성 한글문서(.hwp) 유포 파일명 변화과정 추적

그간 ASEC블로그를 통해 알려왔듯 아주 오랜 시간동안 악성 한글 문서를 이용한 공격이 끊임없이 이루어 지고 있다. 공격자는 문서파일 제목을 통해 사용자가 의심없이 실행하도록 유도하고 있으며, 이번 블로그 글에서는 최근 3달 동안 확인된 악성 한글파일 제목의 변화과정을 다뤄보고자 한다. 해당 정보는 ‘한글 문서를 통해 의심스러운 행위가 발생’했을 시 수집되는 자사 모니터링 시스템을 통해 확인 가능하였다. 주제 1 : 코로나 관련 (Lazarus 그룹 추정) 전라남도 코로나바이러스 대응 긴급조회.hwp인천광역시 코로나바이러스 대응 긴급 조회.hwp인천광역시 코로나바이러스 대응 긴급 조회-**대 김**.hwp[붙임] 코로나19_관련_사증면제 정지 등 조치_알림.hwp 지금도 여전히 코로나와 관련한 이슈가 끊이지 않고 있는데 특히 지난 3월말부터 4월 동안 고강도 사회적 거리두기 했던 그 틈을 이용하여 코로나를 주제로한 한글 문서 파일이 유포되었었다. 위의 표와 같이 긴급성을 띄는 것처럼 보여 사용자의 심리를 자극하고 있으며 이러한 제목으로 4월 1일부터 4월 말까지 꾸준히 유포되어 졌다. 지난…

부동산 투자관련 메일로 유포 중인 한글 악성코드 (EPS사용)

지난 4월부터 증가한 악성 한글 파일의 유포가 여전히 지속 되고있다. ASEC에서는 지난 주 부동한 투자관련 내용으로 위장한 한글 문서(.HWP)가 메일을 통해 유포되고 있음을 알리고자 한다. 아래 [그림1]과 같이 부동산 투자 관련한 제목의 메일에 여러개의 한글 문서들을 첨부하였고 이 첨부된 문서 중 악성 한글 파일을 포함하였다. [그림1] – 메일 내용 [그림2] –  문서 내용 [그림3] – 문서 정보 메일과 문서 내용을 위와 같이 그럴듯하게 작성하여 사용자가 방심하도록 유도 후 악성 한글 파일을 실행하도록한다. 실행 된 이 한글 파일은 내부에 있는 악성…

코로나 문구가 포함된 랜섬웨어 국내발견 (.corona-lock 확장자)

 ASEC 분석팀은 5월22일 BlueCrab, Nemty 등과 동일한 외형 정보로 국내 유포되는 신규 랜섬웨어를 발견하였다. 해당 랜섬웨어는 암호화시 원본 확장자 이름에 코로나 문구를 포함한 “.corona-lock” 확장자로 변경하며 백업과 관련된 파일들을 삭제하여 복구가 불가능하게 한다. 랜섬노트는 바탕화면에 생성되며 아래와 같이 암호화된 파일 목록이 포함되어 있다. 랜섬노트 (README_LOCK.TXT) 해당 랜섬웨어는 암호화전 프로세스 및 서비스 목록을 검사하여 존재할 경우 종료 혹은 멈추는 행위를 수행한다. 프로세스 종료 및 서비스 종료 목록 프로세스 종료 대상 wxServer.exe wxServerView sqlservr.exe sqlmangr.exe RAgui.exe supervise.exe Culture.exe RTVscan.exe Defwatch.exe sqlbrowser.exe winword.exe Winword.exe…

Nemty Special Edition 버전 유포중 (복원가능)

 ASEC 분석팀은 5월18일 Nemty 랜섬웨어가 Special Edition 버전으로 유포되고 있는 것을 확인하였다. 유포 방식은 기존과 동일하게 pdf 파일로 위장하였으며, ‘이력서’ 문구 외 ‘이미지 무단 사용’ 문구가 추가되어 유포되었다. 또한 랜섬웨어 기능에도 작은 변화가 생겼다. 랜섬웨어 기능 중 볼륨 쉐도우 삭제 명령어가 사라졌으며 랜섬노트 및 바탕화면이 변경되었다. [유포 파일명] 성지영이력서이력서지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe 이재희이력서지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe 김용우이력서지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe 한영철이력서지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe 송택승이력서지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe 이미지 무단사용 내용사용중이미지(꼭 확인하시고 조치부탁드릴께요 감사합니다).exe 이미지 무단사용 내용원본이미지(꼭 확인하시고 조치부탁드릴께요 감사합니다).exe  Nemty 3.1 버전까지는 파일을 암호화하기 전, 볼륨…

코인업체 인력모집 양식 가장한 워드문서로 악성코드 유포 중

지난 5월 8일 해당 블로그에 게시 한 것과 같이 메일을 통해 국내 게임업체 인증서를 도용한 악성코드가 유포 중임을 공유하였다. 자사 ASEC에서는 해당 류의 악성코드가 조금 변형 된 형태로 여전히 다양한 제목으로 유포 중임을 확인하여 이에 대해 추가 내용을 알리고자 한다. 지난 블로그 : https://asec.ahnlab.com/1318 위 지난 블로그에서 처럼 해당 악성코드는 문서 내용을 그대로 코인업체 입력모집 양식의 표를 사용하였다. 또한 ‘조정 내용’이라는 문서 제목을 통해 각 사용자가 변경 된 내용을 확인하기 위해 문서를 열람하도록 유도하는 것으로 보이며 문서 제목으로 보아 특정 기업들에…