본문 바로가기

HWP23

부동산 투자관련 메일로 유포 중인 한글 악성코드 (EPS사용) 지난 4월부터 증가한 악성 한글 파일의 유포가 여전히 지속 되고있다. ASEC에서는 지난 주 부동한 투자관련 내용으로 위장한 한글 문서(.HWP)가 메일을 통해 유포되고 있음을 알리고자 한다. 아래 [그림1]과 같이 부동산 투자 관련한 제목의 메일에 여러개의 한글 문서들을 첨부하였고 이 첨부된 문서 중 악성 한글 파일을 포함하였다. 메일과 문서 내용을 위와 같이 그럴듯하게 작성하여 사용자가 방심하도록 유도 후 악성 한글 파일을 실행하도록한다. 실행 된 이 한글 파일은 내부에 있는 악성 포스트스크립트(EPS)가 동작하여 악성의 기능을 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 발생시켜 내부 코드를 실행하도록 한다. 해당 코드는 %appdata%\Microsoft\Internet Exp.. 2020. 5. 25.
포스트스크립트를 이용한 HWP 한글 문서 악성코드 주의 HWP 한글 문서를 이용한 악성코드가 4월부터 눈에 띄게 증가하고 있다. HWP 한글 문서 악성코드는 코로나19 관련 감염병관리지원단을 위장하여 전라남도, 인천광역시 등 다수 지역 이름으로 유포되었고, 며칠 전에는 한국수력원자력 채용 공고 문서로도 유포되었다. 공격자는 정상적인 만들어진 한글 문서에 악성 Encapsulated PostScript (EPS) 파일 개체를 삽입하였다. (아래 그림에서 검은색 박스로 표시) 최근 유포되는 HWP 한글 문서 악성코드는 이전 파일들과 비교하였을 때 포스트스크립트 문법 패턴을 매우 단순하게 하였다는 특징이 있다. 유연한 스크립트 언어인 포스트스크립트 문법적 특징을 이용하여 CVE-2017-8291 취약점 발생과 쉘코드 실행 부분을 모두 < > 안으로 표현되는 Hex.. 2020. 4. 28.
소송 관련 내용의 악성 한글 HWP 파일 유포 - 코니(KONNI) 조직 오늘 ASEC 분석팀에 신규 악성 HWP 한글 파일이 접수되었다. 접수된 문서는 모 민간 병원의 법률 소송 관련 소송대리인 답변 내용으로 되어 있다. 한글 파일은 악성 포스트스크립트(Postscript) 파일을 포함하고 있다. 포스트스크립트를 통해 실행되는 쉘코드 기능을 파악한 결과, '코니(KONNI)' 조직에서 유포한 한글 파일로 확인된다. 파일 정보 파일 타입: 한글 워드프로세서 문서 파일명: 이○○ 답변서 최정본. MD5: bbde7c694faf6b450adbfc8efe88a41a SHA256: f5339239a6bcda0afe61e6ef8bfafe51e4aba510b68e219e95cf4918033dc463 주요 행위 쉘코드는 실행시 악성 유포지 주소에 접속하여 2개의 파일을 다운로드한다. 현재.. 2019. 12. 12.
'한국국가정보학회 학회장 선거공고' 내용의 악성 HWP 유포 안랩 ASEC 분석팀은 "제 9대 학회장 선거공고 및 입후보신청서" 제목의 악성 한글문서가 유포된 것을 확인하였다. 한글문서의 내용은 아래와 같고, 문서 내부에 존재하는 EPS(EncapEncapsulated Postscript) 개체가 악성기능을 수행하는 구조이다. 파일 정보 파일 타입: 한글 워드프로세서 문서 파일명: 제 9대 학회장 선거공고 및 입후보신청서.hwp (추정) MD5: e232ee98e0777fe589f600aa6e62d967 SHA256: 72fd996d651baaad444ac7664b39f66e1eb030a924fe3544ff7c7d80dff768ea 악성 EPS 파일이 존재하는 곳은 첫번째 페이지로 아래의 그림에서 붉은색 표시부분으로 일반 사용자가 알 수 없는 형태로 그림개체가 추.. 2019. 11. 18.
'CES 참관단 참가신청서' 내용의 악성 HWP 유포 오늘 안랩 ASEC 분석팀에 '『 미국 라스베가스 CES 2020 참관단』 참가신청서' 내용의 새로운 악성 HWP 한글 문서가 접수되었다. 이번 악성 파일은 한국정보산업연합회에서 최근 온라인에 공지한 CES 참가신청서 문서를 악용하였다. 정상적인 한글 문서에 취약점이 있는 악성 포스트스크립트 이미지를 삽입하여, 악성코드가 실행되도록 하였다. 파일 정보 파일 타입: 한글 워드프로세서 문서 파일명: CES2020 참관단.hwp (추정) MD5: f865ea5f29bac6fe7f1d976a36c79713 SHA256: d4f055d170fd783ae4f010df64cfd18d8fa9a971378298eb6e863c60f57b93e3 주요 행위 프로세스에 악성코드 인젝션 악성 포스트스크립트 파일은 CVE-201.. 2019. 10. 24.
The “Kimsuky” Operation로 명명된 한국을 대상으로 한 APT 공격 2013년 9월 12일 새벽 러시아 보안 업체인 캐스퍼스키(Kaspersky)에서는 해당 업체 블로그 "The “Kimsuky” Operation: A North Korean APT?"를 통해 한국을 대상으로 한 고도의 APT(Advanced Persistent Threat) 공격이 발견되었음을 공개하였다. 해당 블로그에서는 총 31개의 악성코드 MD5 해쉬(Hash) 값을 공개하였으며, 공격자는 불가리아의 무료 이메일 서버스인 mail.bg 를 이용해 감염된 시스템에서 탈취한 데이터를 보관하고 있다고 밝히고 있다. ASEC에서는 해당 블로그에서 공개한 총 31개의 악성코드에 대해 2013년 6월부터 발견되고 있음을 파악하고 다양한 방안으로 대응을 진행 중에 있다. 아래 그래프는 이번에 캐스퍼스키에서 명.. 2013. 9. 12.
한/글 프로그램 보안 패치 권고 - 문서 파일 실행 시 취약점으로 인해 악성코드 설치, 실행 - SW 보안 패치, 백신 실시간 감시 기능 실행 등 필수 정보보안 기업 안랩[대표 김홍선, www.ahnlab.com]은 한/글 프로그램에서 보안 취약점이 발견되어 이에 대한 보안 패치를 적용하라고 11일 권고했다. 이번에 발견된 취약점은 한/글 문서를 실행했을 때 특정 악성코드가 설치, 실행되는 것이다. 안랩은 취약점을 발견한 7월 5일 한글과컴퓨터사에 관련 정보를 공유했고, 한글과컴퓨터사는 10일 보안 패치를 완료해 사용자에게 공지했다. 한컴 오피스 2007, 한/글 2007, 한/글 2005, 한/글 2004, 한/글 2002 SE 사용자는 해당 패치를 반드시 업데이트해야 안전하다. 이번 악성코드는 ‘동북아 평화 협력 구상 어떻게 실현할.. 2013. 7. 12.
한글 파일 제로 데이(Zero-Day) 취약점 악용 공격 2012년도에는 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용한 타깃 공격(Target Attack)이 예년에 비해 비교적 크게 증가하였다. 이 중에는 기존에 알려지지 않은 제로 데이(Zero Day, 0-Day)을 악용한 공격 형태도 2012년 6월과 11월에 발견될 정도로 한글 소프트웨어 취약점을 악용한 공격의 위험성이 증가하고 있다. 2012년 6월 - 한글 제로데이 취약점을 악용한 악성코드 유포 2012년 11월 - 국방 관련 내용의 0-Day 취약점 악용 한글 파일 이러한 한글 소프트웨어에 존재하는 기존에 알려지지 않은 제로 데이 취약점을 악용한 공격이 1월 25일경 다시 발견되었다. 이 번에 발견된 한글 소프트웨어의 제로 데이 취약점을 악용하는 취약한 한글 파일은 아래 이.. 2013. 1. 29.