프로필 양식 위장한 한글문서 (OLE개체) Posted By ASEC , 2022년 8월 29일 ASEC 분석팀은 최근 OLE 개체 및 플래쉬 취약점 이용한 악성 한글 문서를 확인하였다. 해당 취약점은 2020년 공유한 <한글문서(HWP) 내부 플래쉬 취약점 이용한 새로운 공격> 게시글에서 소개되었으며, 이번에 확인된 파일에도 당시와 동일한 악성 URL을 사용하고 있다. 해당 URL에는 여전히 플래시 취약점(CVE-2018-15982) 파일이 업로드되어 있어 사용자의 주의가 필요하다. 확인된 한글 파일 내부에는 OLE 개체가 삽입되어 있으며 해당 파일들은 한글 문서 실행 시 %TEMP% 폴더에 생성된다. 생성되는 파일은 다음과 같다. 기존에 알려진 powershell.exe, mshta.exe 파일을 바로 이용하지 않고, %TEMP% 경로에 복사하여 이용한 점은…
생일 축하 내용으로 위장한 악성 한글 문서 (OLE 개체) Posted By ASEC , 2022년 8월 23일 ASEC 분석팀은 최근 악성 한글 파일을 다운로드 하는 VBScript를 확인하였다. 해당 악성코드의 정확한 유포경로는 확인되지 않았지만 VBScript는 curl을 통해 다운로드 된다. 현재 확인된 명령어는 다음과 같다. 두 명령어 모두 %APPDATA% 폴더에 vbtemp 명으로 스크립트를 저장한다. hxxp://datkka.atwebpages[.]com/2vbs 에는 아래 그림과 같이 작업 스케줄러 등록 및 추가 파일 다운로드 등의 기능을 수행하는 VBScript 코드가 존재한다. 다운로드 된 vbtemp 파일은 wscript //e:vbscript //b %APPDATA%\vbtemp 명령을 통해 실행된다. 스크립트가 정상적으로 실행되기 위해서는 %APPDATA% 폴더에 tmp~pth 파일이 존재해야 한다. 현재 tmp~pth 파일은 확인되지 않았지만 APPDATA 폴더의…
활발하게 유포 중인 BAT 스크립트 포함한 악성 한글문서 (북한/국방/방송) Posted By ASEC , 2022년 6월 10일 ASEC 분석팀은 한글 문서의 정상 기능(OLE 개체 연결 삽입)을 악용하는 APT 문서가 최근 활발하게 유포 중임을 확인하였다. 지난 3월 3일 소개한 “20대 대통령선거 선상투표 보도자료 가장한 악성 한글문서 유포” 사례 이후로 공격자는 국방, 대북, 방송 관계자들을 대상으로 지속적으로 악성 한글 문서를 유포하고있다. 악성 한글 문서의 동작 방식은 한글 문서 안에 삽입된 OLE 개체(배치파일)가 실행되고, 이후 파워쉘을 통해 쉘코드를 정상 프로세스에 인젝션하여 동작한다. 이때 공격자는 OLE 개체(배치파일)가 실행될 수 있도록 사용자의 본문 클릭을 유도하는 문구를 주로 삽입한다. 아래의 한글 문서 목록은…
대북 관련 한글문서(HWP) 유포 중 Posted By ASEC , 2021년 12월 24일 ASEC 분석팀은 최근 대북 관련 악성 한글 문서 파일을 유포 중인 정황을 확인하였다. 동작 방식은 취약점이 아닌 문서 실행 시 노출되는 화면에 사용자 클릭을 유도하는 하이퍼 링크를 삽입하고, 이를 클릭 시 문서 내부에 포함된 실행 파일들이 동작하는 방식이다. 이처럼 문서 내부에 실행 파일들이 존재하는 것은 정상 한글문서에서도 확인되는 특징으로 개체 삽입을 통해 가능한 정상적인 기능이라고 할 수 있다. 감염되면 작업스케줄러를 통해 121분마다 자동 실행되도록 설정되어 있으며, 추가 외부 악성파일을 구글 드라이브(https://drive.google.com)를 통해 다운로드할 수 있는 구조이다. 또한, 동작 과정에서 V3…
대북관련 질의서 제목의 한글문서(HWP) 유포 Posted By ASEC , 2021년 4월 9일 ASEC분석팀에서는 최근들어 대북관련 본문 내용을 담고 있는 악성 워드(WORD) 파일 유포가 증가하여 해당 내용에 대해 공유하였으나, 오늘은 대북관련 질의서 내용의 악성코드가 한글문서(HWP)의 형태로 유포되고 있는 정황을 포착하였다. 한글문서 내용을 보면 국내 방송사에서 2020년 12월 15일 북한관련 토론 질문지로 사용된 문서가 악성코드 제작자에 의해 수정된 것으로 추정된다. 이 악성 한글 파일은 이전에도 공유 된적 있는 기법인 ‘링크 개체’를 포함하고있는데, 개체를 삽입한 경로정보(C:\Users\Snow\AppData\Local\Temp)를 통해 Snow 이름의 컴퓨터 이름을 갖는 시스템에서 해당 문서가 제작된 것으로 추정된다. 문서 제목 : 질의서-12월15일.hwp 문서 내용 위…
