프로필 양식 위장한 한글문서 (OLE개체) Posted By ASEC , 2022년 8월 29일 ASEC 분석팀은 최근 OLE 개체 및 플래쉬 취약점 이용한 악성 한글 문서를 확인하였다. 해당 취약점은 2020년 공유한 <한글문서(HWP) 내부 플래쉬 취약점 이용한 새로운 공격> 게시글에서 소개되었으며, 이번에 확인된 파일에도 당시와 동일한 악성 URL을 사용하고 있다. 해당 URL에는 여전히 플래시 취약점(CVE-2018-15982) 파일이 업로드되어 있어 사용자의 주의가 필요하다. 확인된 한글 파일 내부에는 OLE 개체가 삽입되어 있으며 해당 파일들은 한글 문서 실행 시 %TEMP% 폴더에 생성된다. 생성되는 파일은 다음과 같다. 기존에 알려진 powershell.exe, mshta.exe 파일을 바로 이용하지 않고, %TEMP% 경로에 복사하여 이용한 점은…
QakBot과 동일한 방법으로 유포중인 IcedID(BokBot) – 악성 엑셀 다수 유포 중 Posted By ASEC , 2021년 2월 25일 ASEC 분석팀은 최근 국내 사용자를 대상으로 악성 매크로를 이용한 스팸 메일의 유입이 증가하고 있는 정황을 확인하였다. 유포가 증가한 악성 Excel 파일명은 document-1962646879.xls 와 같이 document-[랜덤한숫자].xls 의 형식을 갖는다. 2021/02/18 2021/02/19 2021/02/20 2021/02/22 2021/02/23 document-10584312.xls document-722570027.xls외 다수 document-1007202158.xls document-1061590730.xls외 다수 document-685793410.xls document-755852080.xls외 다수 document-1121510433.xls document-1135287541.xls외 다수 document-1688341436.xlsdocument-1962646879.xls외 다수 악성 Excel 유포 현황 및 유포 파일명 압축 파일이 첨부되어 발송되는 스팸 메일에서 첨부 파일을 다운로드 받게 되면, 해당 압축 파일에는 Excel 파일이 포함되어 있는 것을 확인할 수 있다. 문서를 실행하면 아래와 같은…
미국 대선 내용의 악성 한글 문서 유포 중 Posted By ASEC , 2020년 11월 4일 ASEC 분석팀은 악성 OLE 개체를 포함하고 있는 한글 문서가 유포 중임을 확인하였다. 문서 파일에는 미국의 대선 및 북한 관련 내용이 존재하며 이전 링크 개체를 이용한 악성 한글 문서와 유사한 특징을 지니고 있다. 파일 실행 시 내부에 존재하는 악성 OLE 개체(VBS파일)가 %AppData%LocalTemp 폴더에 생성된다. 파일명이 hancom.configuration.vbs로 생성되어 사용자가 한글 설정파일로 착각할 수 있다. 만약 한글 보안패치가 최신으로 적용되어 있다면, 다음과 같은 알림창이 생성된 후에 사용자가 허용을 클릭하여야만 악성 행위가 발현된다. 문서 정보는 아래와 같으며, 마지막으로 수정한 날짜가 2020년 11월 1일로 설정되어있다. 문서…
