대북관련 질의서 제목의 한글문서(HWP) 유포
Contents
대북관련 질의서 제목의 한글문서(HWP) 유포
ASEC분석팀에서는 최근들어 대북관련 본문 내용을 담고 있는 악성 워드(WORD) 파일 유포가 증가하여 해당 내용에 대해 공유하였으나, 오늘은 대북관련 질의서 내용의 악성코드가 한글문서(HWP)의 형태로 유포되고 있는 정황을 포착하였다.
한글문서 내용을 보면 국내 방송사에서 2020년 12월 15일 북한관련 토론 질문지로 사용된 문서가 악성코드 제작자에 의해 수정된 것으로 추정된다. 이 악성 한글 파일은 이전에도 공유 된적 있는 기법인 ‘링크 개체’를 포함하고있는데, 개체를 삽입한 경로정보(C:\Users\Snow\AppData\Local\Temp)를 통해 Snow 이름의 컴퓨터 이름을 갖는 시스템에서 해당 문서가 제작된 것으로 추정된다.
- 문서 제목 : 질의서-12월15일.hwp
- 문서 내용
위 [그림1]과 같이 특정 방송의 질의서 내용인 것처럼 위장을 하여 유포가 되었으며 내부에 악성 개체를 삽입한 형태를 띄고있다. 이전에는 개체를 확인할 수 있도록 제작된 것에 반해 이번에는 문서에 비밀번호를 설정하여 편집제한을 걸어두어 비밀번호를 모를시 해당 개체의 속성을 확인 할 수 없도록 했다.
하지만 이전과의 공통점이라면 위에서도 언급한 것과 같이 내부에 개체를 삽입하여 상대경로 링크를 사용한 것으로 보인다. 해당 악성 문서가 “C:\User\[사용자명]\AppData\” 경로에 위치 하지 않으면 아래와 같이 내부 악성 개체가 …
ASEC분석팀에서는 최근들어 대북관련 본문 내용을 담고 있는 악성 워드(WORD) 파일 유포가 증가하여 해당 내용에 대해 공유하였으나, 오늘은 대북관련 질의서 내용의 악성코드가 한글문서(HWP)의 형태로 유포되고 있는 정황을 포착하였다.
한글문서 내용을 보면 국내 방송사에서 2020년 12월 15일 북한관련 토론 질문지로 사용된 문서가 악성코드 제작자에 의해 수정된 것으로 추정된다. 이 악성 한글 파일은 이전에도 공유 된적 있는 기법인 ‘링크 개체’를 포함하고있는데, 개체를 삽입한 경로정보(C:\Users\Snow\AppData\Local\Temp)를 통해 Snow 이름의 컴퓨터 이름을 갖는 시스템에서 해당 문서가 제작된 것으로 추정된다.
- 문서 제목 : 질의서-12월15일.hwp
- 문서 내용
위 [그림1]과 같이 특정 방송의 질의서 내용인 것처럼 위장을 하여 유포가 되었으며 내부에 악성 개체를 삽입한 형태를 띄고있다. 이전에는 개체를 확인할 수 있도록 제작된 것에 반해 이번에는 문서에 비밀번호를 설정하여 편집제한을 걸어두어 비밀번호를 모를시 해당 개체의 속성을 확인 할 수 없도록 했다.
하지만 이전과의 공통점이라면 위에서도 언급한 것과 같이 내부에 개체를 삽입하여 상대경로 링크를 사용한 것으로 보인다. 해당 악성 문서가 “C:\User\[사용자명]\AppData\” 경로에 위치 하지 않으면 아래와 같이 내부 악성 개체가 …
IoC
http://yegip.kr/se2/photo_uploader/plugin/update/list.php?query=0