활발하게 유포 중인 BAT 스크립트 포함한 악성 한글문서 (북한/국방/방송) Posted By ASEC , 2022년 6월 10일 ASEC 분석팀은 한글 문서의 정상 기능(OLE 개체 연결 삽입)을 악용하는 APT 문서가 최근 활발하게 유포 중임을 확인하였다. 지난 3월 3일 소개한 “20대 대통령선거 선상투표 보도자료 가장한 악성 한글문서 유포” 사례 이후로 공격자는 국방, 대북, 방송 관계자들을 대상으로 지속적으로 악성 한글 문서를 유포하고있다. 악성 한글 문서의 동작 방식은 한글 문서 안에 삽입된 OLE 개체(배치파일)가 실행되고, 이후 파워쉘을 통해 쉘코드를 정상 프로세스에 인젝션하여 동작한다. 이때 공격자는 OLE 개체(배치파일)가 실행될 수 있도록 사용자의 본문 클릭을 유도하는 문구를 주로 삽입한다. 아래의 한글 문서 목록은…
대북 관련 한글문서(HWP) 유포 중 Posted By ASEC , 2021년 12월 24일 ASEC 분석팀은 최근 대북 관련 악성 한글 문서 파일을 유포 중인 정황을 확인하였다. 동작 방식은 취약점이 아닌 문서 실행 시 노출되는 화면에 사용자 클릭을 유도하는 하이퍼 링크를 삽입하고, 이를 클릭 시 문서 내부에 포함된 실행 파일들이 동작하는 방식이다. 이처럼 문서 내부에 실행 파일들이 존재하는 것은 정상 한글문서에서도 확인되는 특징으로 개체 삽입을 통해 가능한 정상적인 기능이라고 할 수 있다. 감염되면 작업스케줄러를 통해 121분마다 자동 실행되도록 설정되어 있으며, 추가 외부 악성파일을 구글 드라이브(https://drive.google.com)를 통해 다운로드할 수 있는 구조이다. 또한, 동작 과정에서 V3…
대북관련 질의서 제목의 한글문서(HWP) 유포 Posted By ASEC , 2021년 4월 9일 ASEC분석팀에서는 최근들어 대북관련 본문 내용을 담고 있는 악성 워드(WORD) 파일 유포가 증가하여 해당 내용에 대해 공유하였으나, 오늘은 대북관련 질의서 내용의 악성코드가 한글문서(HWP)의 형태로 유포되고 있는 정황을 포착하였다. 한글문서 내용을 보면 국내 방송사에서 2020년 12월 15일 북한관련 토론 질문지로 사용된 문서가 악성코드 제작자에 의해 수정된 것으로 추정된다. 이 악성 한글 파일은 이전에도 공유 된적 있는 기법인 ‘링크 개체’를 포함하고있는데, 개체를 삽입한 경로정보(C:\Users\Snow\AppData\Local\Temp)를 통해 Snow 이름의 컴퓨터 이름을 갖는 시스템에서 해당 문서가 제작된 것으로 추정된다. 문서 제목 : 질의서-12월15일.hwp 문서 내용 위…
“「2021 평화∙통일 이야기 공모전」 참가 신청서” 제목의 한글문서 유포 (APT 추정) Posted By ASEC , 2020년 12월 8일 ASEC분석팀은 특정 지자체의 문서를 위조한 한글 악성코드가 유포 중인 것을 확인했다. 해당 문서는 아래 [그림 1]과 같이 평화∙통일을 주제로 하고 있다. 문서 실행 시 내부 악성 OLE 개체에 의해 악성코드가 특정 경로에 생성되며 사용자가 문서를 클릭할 경우 실행된다. 해당 악성 문서에 대한 정보는 다음 [그림2]와 같다. 악성 문서는 다음 [그림 3]과 같이 악성 OLE 개체를 포함하고 있으며, 문서가 실행되면 OLE 개체 내부의 PE 파일(.exe) 악성코드가 특정 경로에 생성된다. 악성코드를 생성되는 경로는 다음과 같다. C:\Users[사용자명]\AppData\Local\Temp\HncApp.exe 생성된 파일을 실행시키기 위해 제작자는 문서…
한글문서(HWP) 내부 플래쉬 취약점 이용한 새로운 공격 Posted By ASEC , 2020년 11월 25일 ASEC 분석팀은 한글문서에 플래시 취약점(CVE-2018-15982) 개체를 삽입한 형태의 새로운 공격 정황을 자사 ASD(AhnLab Smart Defense) 인프라를 통해 확인하였다. 최근까지 공격자가 악성 OLE 개체를 한글문서에 삽입하여 유포하는 방식은 여러차례 블로그를 통해서 소개(https://asec.ahnlab.com/ko/1354, https://asec.ahnlab.com/ko/1400)한 바 있다. 이번에 확인된 플래시 취약점 활용한 사례를 통해서 공격자는 VBS(Visual Basic Script), JS(JavaScript) 뿐만 아니라 SWF(Shock Wave Flash) 등 다양한 스크립트 형태의 포맷들을 한글 문서 내에 OLE 개체로 삽입하여 유포한다는 것을 알 수 있다. 한글문서는 다음과 같은 파일명을 통해 유포된 것으로 확인 되었다. 통일한국포럼 – 참가자 사례비…
