HWP

“「2021 평화∙통일 이야기 공모전」 참가 신청서” 제목의 한글문서 유포 (APT 추정)

ASEC분석팀은 특정 지자체의 문서를 위조한 한글 악성코드가 유포 중인 것을 확인했다. 해당 문서는 아래 [그림 1]과 같이 평화∙통일을 주제로 하고 있다. 문서 실행 시 내부 악성 OLE 개체에 의해 악성코드가 특정 경로에 생성되며 사용자가 문서를 클릭할 경우 실행된다. 해당 악성 문서에 대한 정보는 다음 [그림2]와 같다. 악성 문서는 다음 [그림 3]과 같이 악성 OLE 개체를 포함하고 있으며, 문서가 실행되면 OLE 개체 내부의 PE 파일(.exe) 악성코드가 특정 경로에 생성된다. 악성코드를 생성되는 경로는 다음과 같다. C:\Users[사용자명]\AppData\Local\Temp\HncApp.exe 생성된 파일을 실행시키기 위해 제작자는 문서…

한글문서(HWP) 내부 플래쉬 취약점 이용한 새로운 공격

ASEC 분석팀은 한글문서에 플래시 취약점(CVE-2018-15982) 개체를 삽입한 형태의 새로운 공격 정황을 자사 ASD(AhnLab Smart Defense) 인프라를 통해 확인하였다. 최근까지 공격자가 악성 OLE 개체를 한글문서에 삽입하여 유포하는 방식은 여러차례 블로그를 통해서 소개(https://asec.ahnlab.com/ko/1354, https://asec.ahnlab.com/ko/1400)한 바 있다. 이번에 확인된 플래시 취약점 활용한 사례를 통해서 공격자는 VBS(Visual Basic Script), JS(JavaScript) 뿐만 아니라 SWF(Shock Wave Flash) 등 다양한 스크립트 형태의 포맷들을 한글 문서 내에 OLE 개체로 삽입하여 유포한다는 것을 알 수 있다. 한글문서는 다음과 같은 파일명을 통해 유포된 것으로 확인 되었다. 통일한국포럼 – 참가자 사례비…

미국 대선 내용의 악성 한글 문서 유포 중

ASEC 분석팀은 악성 OLE 개체를 포함하고 있는 한글 문서가 유포 중임을 확인하였다. 문서 파일에는 미국의 대선 및 북한 관련 내용이 존재하며 이전 링크 개체를 이용한 악성 한글 문서와 유사한 특징을 지니고 있다. 파일 실행 시 내부에 존재하는 악성 OLE 개체(VBS파일)가 %AppData%LocalTemp 폴더에 생성된다. 파일명이 hancom.configuration.vbs로 생성되어 사용자가 한글 설정파일로 착각할 수 있다. 만약 한글 보안패치가 최신으로 적용되어 있다면, 다음과 같은 알림창이 생성된 후에 사용자가 허용을 클릭하여야만 악성 행위가 발현된다. 문서 정보는 아래와 같으며, 마지막으로 수정한 날짜가 2020년 11월 1일로 설정되어있다. 문서…

‘원산지 조사 자율 점검표’ 한글(HWP) 악성코드 유포

ASEC 분석팀은 7월 23일 악성 EPS를 포함한 한글 문서가 유포되고 있음을 확인하였다. 문서에 포함된 악성 PS(Post Script)파일의 주요 행위는 7월 15일 아래의 글을 통해 확인한 코로나 예측 결과 위장 엑셀문서와 유사하다. 해당 문서에는 원산지 조사 자율 점검표가 존재하며, 문서 정보로 보아 실제 ‘국가법령정부센터’에서 제공한 문서를 악의적으로 가공한 것으로 추정된다. https://asec.ahnlab.com/1355 한글문서 첫 페이지 우측 상단에는 아래의 그림과 같이 사용자가 알아차리기 어려운 형태로 PS 파일이 존재한다. 해당 PS 파일에는 7월 15일에 공유한 코로나 예측결과 관련 악성 엑셀(xls) 문서와 유사한 CMD 명령어를 수행하는…

링크 개체를 이용한 악성 한글문서(HWP) 주의 – 코인업체 사칭

ASEC 분석팀은 지난주 코인업체를 사칭한 악성 한글 문서 파일이 유포됨을 확인하였다. 한글 파일에는 특정 코인 업체의 운영 정책이 변경되어 해당 사항을 확인하도록 하는 내용이 담겨있다. 파일 실행 시 내부에 포함된 OLE 개체(EXE 실행파일)가 %temp%폴더에 생성된다. 파일명이 hanwordupdate.exe로 되어있어 사용자가 한글의 정상 파일로 착각할 수 있어 주의가 필요하다. 악성 한글문서 내용 파일 내부에는 개체를 실행하기 위해 링크가 포함된 도형이 존재하며, 특정 도형들은 페이지 전부를 덮고 있어 사용자가 어느 곳을 선택하여도 악성 파일의 링크를 실행하게 된다. 아래의 그림에서 빨간색으로 표시된 부분이 링크를…