대북 관련 한글문서(HWP) 유포 중
Contents
ASEC 분석팀은 최근 대북 관련 악성 한글 문서 파일을 유포 중인 정황을 확인하였다. 동작 방식은 취약점이 아닌 문서 실행 시 노출되는 화면에 사용자 클릭을 유도하는 하이퍼 링크를 삽입하고, 이를 클릭 시 문서 내부에 포함된 실행 파일들이 동작하는 방식이다. 이처럼 문서 내부에 실행 파일들이 존재하는 것은 정상 한글문서에서도 확인되는 특징으로 개체 삽입을 통해 가능한 정상적인 기능이라고 할 수 있다. 감염되면 작업스케줄러를 통해 121분마다 자동 실행되도록 설정되어 있으며, 추가 외부 악성파일을 구글 드라이브(https://drive.google.com)를 통해 다운로드할 수 있는 구조이다. 또한, 동작 과정에서 V3 제품의 탐지화면을 숨기는 특징을 갖고 있다. 실제 악성파일 치료에는 문제가 없으나, 사용자로 하여금 의심 파일로 인지하지 못하도록 한 것으로 각별한 주의가 요구된다. 이처럼 최근들어 대북 관련 악성코드가 증가하고 있고 탐지를 우회하기 위한 시도가 확인되고 있어 주의가 필요하다.
- 파일명: ONN-Construction activities near Chamjin-ri and Kangson-Dec 2021.hwp
해당 한글 파일을 실행하면 아래 그림과 같이 사용자에게 보여지며, 한글 파일에 포함되어 있는 아래 파일들을 %TEMP% 경로에 생성한다.
- ~DF9B1C729B001D998E.tmp
- iphlpapi.dll
- OneDriveStandaloneUpdater.exe
- ONN-Construction activities near Chamjin-ri and …
- 파일명: ONN-Construction activities near Chamjin-ri and Kangson-Dec 2021.hwp
해당 한글 파일을 실행하면 아래 그림과 같이 사용자에게 보여지며, 한글 파일에 포함되어 있는 아래 파일들을 %TEMP% 경로에 생성한다.
- ~DF9B1C729B001D998E.tmp
- iphlpapi.dll
- OneDriveStandaloneUpdater.exe
- ONN-Construction activities near Chamjin-ri and …
IoC
3c45e0def2845cc130a9331c774d3935
41aca1d4282dfb41356ee95e933eedc1
8ec6e4d3a6142b8bde35899e7fdae42e
a532a4fe38b76f53885158aa3b75e5dc
a7077d9a2c98ec2d0b3b1c12f23b2a79
41aca1d4282dfb41356ee95e933eedc1
8ec6e4d3a6142b8bde35899e7fdae42e
a532a4fe38b76f53885158aa3b75e5dc
a7077d9a2c98ec2d0b3b1c12f23b2a79