해양분야 관련 한글(HWP) 악성코드 유포 중 Posted By ASEC , 2020년 6월 29일 ASEC 분석팀은 지난 5월 “악성 한글문서(.hwp) 주제별 연관성 분석“이라는 제목으로 분석 정보를 공유하였다. https://asec.ahnlab.com/1325 금일 확인된 한글 악성코드는 위 게시글에서 언급한 3가지 주제 중 “해양분야”에 속하며, 5월에 유포된 EPS 코드와 비교하였을 때 EPS 코드 인코딩을 하지 않은 것이 특징이다. 이는 보안 제품 탐지 우회를 위해 EPS 코드 패턴을 달리한 것으로 추정된다. 전체적인 쉘코드 실행 방식은 지난 5월에 유포된 악성코드(“부동산 투자관련 메일로 유포 중인 한글 악성코드“)와 상당히 유사하였다. https://asec.ahnlab.com/1323 쉘코드가 동작하면 %appdata%MicrosoftInternet Explorer 경로에 security.vbs가 생성되어 추가 악성 DLL을 다운로드 받아…
학술대회 지원관련 한글(HWP) 악성코드 유포 중 Posted By ASEC , 2020년 6월 24일 ASEC 분석팀은 지난 6월 4일 “국내 학술대회 시즌을 노린 한글문서(HWP) 악성코드 유포 중“이라는 제목으로 블로그를 통해 분석 정보를 공유하였다. https://asec.ahnlab.com/1329 코로나19로 인해 여러 학회에서 온라인으로 학술 대회를 진행 및 개최 논의가 되고 있는 가운데 6월 18일 “온라인 학술대회 한시적 지원 관련 Q&A.hwp”라는 제목의 한글 악성코드 유포가 확인되어 사용자 주의가 필요하다. 유포지로 확인된 곳은 첨부파일이 현재 삭제된 상태이다. 해당 한글문서에서 사용된 동작방식은 6월부터 시작된 것으로 확인되며, 다양한 윈도우 시스템 프로세스(forfiles.exe, curl.exe, certutil.exe)를 이용하여 동작하는 형태로 보안제품의 행위탐지 우회를 시도한 것으로 추정된다….
