활발하게 유포 중인 BAT 스크립트 포함한 악성 한글문서 (북한/국방/방송) Posted By ASEC , 2022년 6월 10일 ASEC 분석팀은 한글 문서의 정상 기능(OLE 개체 연결 삽입)을 악용하는 APT 문서가 최근 활발하게 유포 중임을 확인하였다. 지난 3월 3일 소개한 “20대 대통령선거 선상투표 보도자료 가장한 악성 한글문서 유포” 사례 이후로 공격자는 국방, 대북, 방송 관계자들을 대상으로 지속적으로 악성 한글 문서를 유포하고있다. 악성 한글 문서의 동작 방식은 한글 문서 안에 삽입된 OLE 개체(배치파일)가 실행되고, 이후 파워쉘을 통해 쉘코드를 정상 프로세스에 인젝션하여 동작한다. 이때 공격자는 OLE 개체(배치파일)가 실행될 수 있도록 사용자의 본문 클릭을 유도하는 문구를 주로 삽입한다. 아래의 한글 문서 목록은…
‘코로나바이러스 피해 소상공인 경영안정자금’ 이름의 한글문서 유포 Posted By ASEC , 2020년 12월 15일 ASEC 분석팀은 현재 코로나19로 어려움을 겪고있는 소상공인을 대상으로 악성 한글 문서를 유포하는 정황을 포착하였다. 공격자는 한글 문서에 악성 PostScript를 삽입하거나 악성 OLE 개체를 삽입하였으며, 다음과 같은 파일명을 통해 악성 문서를 유포한 것으로 확인 되었다. 코로나바이러스감염증-19 피해 소상공인 경영안정자금 공고.hwp 2020년 중소벤처기업부 소관 소상공인 정책자금 융자계획 변경 공고.hwp 발주서(산단)_컴퓨터 2대.hwp 최근거래내역.hwp 실제 공격에 사용된 한글 문서 파일은 수집되지 않았지만, 위에서 언급한 파일명 중 “코로나바이러스감염증-19 피해 소상공인 경영안정자금 공고.hwp”의 경우 중소벤처기업부 공식 사이트에서 [그림 1]과 같은 동일한 파일명의 한글 문서 파일을 확인할…
“「2021 평화∙통일 이야기 공모전」 참가 신청서” 제목의 한글문서 유포 (APT 추정) Posted By ASEC , 2020년 12월 8일 ASEC분석팀은 특정 지자체의 문서를 위조한 한글 악성코드가 유포 중인 것을 확인했다. 해당 문서는 아래 [그림 1]과 같이 평화∙통일을 주제로 하고 있다. 문서 실행 시 내부 악성 OLE 개체에 의해 악성코드가 특정 경로에 생성되며 사용자가 문서를 클릭할 경우 실행된다. 해당 악성 문서에 대한 정보는 다음 [그림2]와 같다. 악성 문서는 다음 [그림 3]과 같이 악성 OLE 개체를 포함하고 있으며, 문서가 실행되면 OLE 개체 내부의 PE 파일(.exe) 악성코드가 특정 경로에 생성된다. 악성코드를 생성되는 경로는 다음과 같다. C:\Users[사용자명]\AppData\Local\Temp\HncApp.exe 생성된 파일을 실행시키기 위해 제작자는 문서…
포스트스크립트를 이용한 HWP 한글 문서 악성코드 주의 Posted By ASEC , 2020년 4월 28일 HWP 한글 문서를 이용한 악성코드가 4월부터 눈에 띄게 증가하고 있다. HWP 한글 문서 악성코드는 코로나19 관련 감염병관리지원단을 위장하여 전라남도, 인천광역시 등 다수 지역 이름으로 유포되었고, 며칠 전에는 한국수력원자력 채용 공고 문서로도 유포되었다. 공격자는 정상적인 만들어진 한글 문서에 악성 Encapsulated PostScript (EPS) 파일 개체를 삽입하였다. (아래 그림에서 검은색 박스로 표시) 최근 유포되는 HWP 한글 문서 악성코드는 이전 파일들과 비교하였을 때 포스트스크립트 문법 패턴을 매우 단순하게 하였다는 특징이 있다. 유연한 스크립트 언어인 포스트스크립트 문법적 특징을 이용하여 CVE-2017-8291 취약점 발생과 쉘코드 실행 부분을…
소송 관련 내용의 악성 한글 HWP 파일 유포 – 코니(KONNI) 조직 Posted By ASEC , 2019년 12월 12일 오늘 ASEC 분석팀에 신규 악성 HWP 한글 파일이 접수되었다. 접수된 문서는 모 민간 병원의 법률 소송 관련 소송대리인 답변 내용으로 되어 있다. 한글 파일은 악성 포스트스크립트(Postscript) 파일을 포함하고 있다. 포스트스크립트를 통해 실행되는 쉘코드 기능을 파악한 결과, ‘코니(KONNI)’ 조직에서 유포한 한글 파일로 확인된다. 파일 정보 파일 타입: 한글 워드프로세서 문서 파일명: 이○○ 답변서 최정본. MD5: bbde7c694faf6b450adbfc8efe88a41a SHA256: f5339239a6bcda0afe61e6ef8bfafe51e4aba510b68e219e95cf4918033dc463 주요 행위 쉘코드는 실행시 악성 유포지 주소에 접속하여 2개의 파일을 다운로드한다. 현재 해당 주소에 접속이 가능하므로, 일부는 표기하지 않는다. 다운로드 받은 파일은 각각…
