국내 학술대회 시즌을 노린 한글문서(HWP) 악성코드 유포 중
Contents
국내 학술대회 시즌을 노린 한글문서(HWP) 악성코드 유포 중
ASEC 분석팀은 지난 5월에 다양한 주제별로 유포 중인 한글문서(HWP) 악성코드에 대해 아래의 블로그를 통해 공유하였다. ‘부동산 관련’ 제목으로 유포하던 것에서 최근에는 국내 학술대회 일정에 맞추어 논문, 학술관련 제목으로 악성코드가 제작되고 있음이 확인되었다.
악성 한글문서(.hwp) 주제별 연관성 분석
ASEC에서는 이전 블로그를 통해 최근 3개월간의 악성 한글 문서 유포 제목의 변화에 대해 공유하였다. 이번 블로그에서는 아래 링크의 블로그에 이어 분류 된 제목 카테고리들 간의 연관관계가 확인되어 그에 대해..
현재까지 확인된 악성 한글문서의 제목은 아래와 같이 2가지이며, 위 블로그 상에서 분류한 주제 중, ‘그 외’ 항목에 해당하는 기법으로 확인되었다. 해당 한글문서의 특징은 실행 시, 사용자에게 정상적으로 본문내용이 보여지지 않고 2차 악성 파일 다운로드 행위만 수행된다.
- 2020_XXXX_초전도 논문.hwp
- 학술대회.hwp
악성코드 제작자는 국내 학회지의 하계 논문 투고 기간이 주로 5월에서 7월까지인 것을 노린 것으로 추정된다. 접수된 악성 한글파일은 이전에 소개된 내부 EPS(Encapsulated PostScript) 스크립트와 악성 행위가 동일함을 알 수 있다.
[그림 1.] 과거(좌)와 현재(우)의 XOR 복호화 대상과 키가 동일
백신 진단을 우회하기 위해 스크립트 …
ASEC 분석팀은 지난 5월에 다양한 주제별로 유포 중인 한글문서(HWP) 악성코드에 대해 아래의 블로그를 통해 공유하였다. ‘부동산 관련’ 제목으로 유포하던 것에서 최근에는 국내 학술대회 일정에 맞추어 논문, 학술관련 제목으로 악성코드가 제작되고 있음이 확인되었다.
악성 한글문서(.hwp) 주제별 연관성 분석
ASEC에서는 이전 블로그를 통해 최근 3개월간의 악성 한글 문서 유포 제목의 변화에 대해 공유하였다. 이번 블로그에서는 아래 링크의 블로그에 이어 분류 된 제목 카테고리들 간의 연관관계가 확인되어 그에 대해..
현재까지 확인된 악성 한글문서의 제목은 아래와 같이 2가지이며, 위 블로그 상에서 분류한 주제 중, ‘그 외’ 항목에 해당하는 기법으로 확인되었다. 해당 한글문서의 특징은 실행 시, 사용자에게 정상적으로 본문내용이 보여지지 않고 2차 악성 파일 다운로드 행위만 수행된다.
- 2020_XXXX_초전도 논문.hwp
- 학술대회.hwp
악성코드 제작자는 국내 학회지의 하계 논문 투고 기간이 주로 5월에서 7월까지인 것을 노린 것으로 추정된다. 접수된 악성 한글파일은 이전에 소개된 내부 EPS(Encapsulated PostScript) 스크립트와 악성 행위가 동일함을 알 수 있다.
[그림 1.] 과거(좌)와 현재(우)의 XOR 복호화 대상과 키가 동일
백신 진단을 우회하기 위해 스크립트 …
IoC
http://resulview.com/5hadr/upload.php
http://resulview.com/5hado/%COMPUTERNAME%.txt
http://resulview.com/5hado/no1.txt
http://resulview.com/5hado/vbs.txt
http://resulview.com/5hado/%COMPUTERNAME%.txt
http://resulview.com/5hado/no1.txt
http://resulview.com/5hado/vbs.txt