‘북한의 회색지대 전략과 대응방안’ 한글문서(HWP) 유포 중 Posted By ASEC , 2020년 7월 3일 ASEC 분석팀은 최근 ‘북한의 회색지대 전략과 대응방안’ 내용의 한글 문서 파일이 유포 중인 것을 확인하였다. 한글문서는 2019년 10월 21일에 작성되었으며, 2020년 6월 23일에 공격자에 의해 수정된 것으로 추정된다. 마지막으로 해당 문서를 저장한 사람은 Venus.H로 확인되었다. 아래의 그림은 EPS 취약점 스크립트를 포함한 악성 한글문서의 본문 내용을 나타낸다. 북한의 회색지대 전략과 대응방안.hwp 해당 한글문서에 대한 문서 정보는 아래와 같다. 문서 정보 위의 한글 문서 파일을 열면 취약한 내부에 있는 악성 포스트스크립트(EPS)가 동작하여 악성의 기능을 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 발생시켜 내부…
해양분야 관련 한글(HWP) 악성코드 유포 중 Posted By ASEC , 2020년 6월 29일 ASEC 분석팀은 지난 5월 “악성 한글문서(.hwp) 주제별 연관성 분석“이라는 제목으로 분석 정보를 공유하였다. https://asec.ahnlab.com/1325 금일 확인된 한글 악성코드는 위 게시글에서 언급한 3가지 주제 중 “해양분야”에 속하며, 5월에 유포된 EPS 코드와 비교하였을 때 EPS 코드 인코딩을 하지 않은 것이 특징이다. 이는 보안 제품 탐지 우회를 위해 EPS 코드 패턴을 달리한 것으로 추정된다. 전체적인 쉘코드 실행 방식은 지난 5월에 유포된 악성코드(“부동산 투자관련 메일로 유포 중인 한글 악성코드“)와 상당히 유사하였다. https://asec.ahnlab.com/1323 쉘코드가 동작하면 %appdata%MicrosoftInternet Explorer 경로에 security.vbs가 생성되어 추가 악성 DLL을 다운로드 받아…
학술대회 지원관련 한글(HWP) 악성코드 유포 중 Posted By ASEC , 2020년 6월 24일 ASEC 분석팀은 지난 6월 4일 “국내 학술대회 시즌을 노린 한글문서(HWP) 악성코드 유포 중“이라는 제목으로 블로그를 통해 분석 정보를 공유하였다. https://asec.ahnlab.com/1329 코로나19로 인해 여러 학회에서 온라인으로 학술 대회를 진행 및 개최 논의가 되고 있는 가운데 6월 18일 “온라인 학술대회 한시적 지원 관련 Q&A.hwp”라는 제목의 한글 악성코드 유포가 확인되어 사용자 주의가 필요하다. 유포지로 확인된 곳은 첨부파일이 현재 삭제된 상태이다. 해당 한글문서에서 사용된 동작방식은 6월부터 시작된 것으로 확인되며, 다양한 윈도우 시스템 프로세스(forfiles.exe, curl.exe, certutil.exe)를 이용하여 동작하는 형태로 보안제품의 행위탐지 우회를 시도한 것으로 추정된다….
부동산 투자관련 메일로 유포 중인 한글 악성코드 (EPS사용) Posted By ASEC , 2020년 5월 25일 지난 4월부터 증가한 악성 한글 파일의 유포가 여전히 지속 되고있다. ASEC에서는 지난 주 부동한 투자관련 내용으로 위장한 한글 문서(.HWP)가 메일을 통해 유포되고 있음을 알리고자 한다. 아래 [그림1]과 같이 부동산 투자 관련한 제목의 메일에 여러개의 한글 문서들을 첨부하였고 이 첨부된 문서 중 악성 한글 파일을 포함하였다. [그림1] – 메일 내용 [그림2] – 문서 내용 [그림3] – 문서 정보 메일과 문서 내용을 위와 같이 그럴듯하게 작성하여 사용자가 방심하도록 유도 후 악성 한글 파일을 실행하도록한다. 실행 된 이 한글 파일은 내부에 있는 악성…
포스트스크립트를 이용한 HWP 한글 문서 악성코드 주의 Posted By ASEC , 2020년 4월 28일 HWP 한글 문서를 이용한 악성코드가 4월부터 눈에 띄게 증가하고 있다. HWP 한글 문서 악성코드는 코로나19 관련 감염병관리지원단을 위장하여 전라남도, 인천광역시 등 다수 지역 이름으로 유포되었고, 며칠 전에는 한국수력원자력 채용 공고 문서로도 유포되었다. 공격자는 정상적인 만들어진 한글 문서에 악성 Encapsulated PostScript (EPS) 파일 개체를 삽입하였다. (아래 그림에서 검은색 박스로 표시) 최근 유포되는 HWP 한글 문서 악성코드는 이전 파일들과 비교하였을 때 포스트스크립트 문법 패턴을 매우 단순하게 하였다는 특징이 있다. 유연한 스크립트 언어인 포스트스크립트 문법적 특징을 이용하여 CVE-2017-8291 취약점 발생과 쉘코드 실행 부분을…
