미국 대선 내용의 악성 한글 문서 유포 중
Contents
미국 대선 내용의 악성 한글 문서 유포 중
ASEC 분석팀은 악성 OLE 개체를 포함하고 있는 한글 문서가 유포 중임을 확인하였다. 문서 파일에는 미국의 대선 및 북한 관련 내용이 존재하며 이전 링크 개체를 이용한 악성 한글 문서와 유사한 특징을 지니고 있다.
링크 개체를 이용한 악성 한글문서(HWP) 주의 – 코인업체 사칭
ASEC 분석팀은 지난주 코인업체를 사칭한 악성 한글 문서 파일이 유포됨을 확인하였다. 한글 파일에는 특정 코인 업체의 운영 정책이 변경되어 해당 사항을 확인하도록 하는 내용이 담겨있다. 파일 실행 시 내부에..
파일 실행 시 내부에 존재하는 악성 OLE 개체(VBS파일)가 %AppData%LocalTemp 폴더에 생성된다. 파일명이 hancom.configuration.vbs로 생성되어 사용자가 한글 설정파일로 착각할 수 있다.
[그림1] 파일 내부에 존재하는 OLE 개체
만약 한글 보안패치가 최신으로 적용되어 있다면, 다음과 같은 알림창이 생성된 후에 사용자가 허용을 클릭하여야만 악성 행위가 발현된다.
[그림2] 최신 한글버전에서 파일 실행 시 알림창
문서 정보는 아래와 같으며, 마지막으로 수정한 날짜가 2020년 11월 1일로 설정되어있다.
[그림3] 문서정보
문서 내부 페이지의 글들은 글 상자 개체로 존재하며 각 개체의 속성 제거 시 아래와 같이 악성 VBS 파일로의 하이퍼링크가 …
ASEC 분석팀은 악성 OLE 개체를 포함하고 있는 한글 문서가 유포 중임을 확인하였다. 문서 파일에는 미국의 대선 및 북한 관련 내용이 존재하며 이전 링크 개체를 이용한 악성 한글 문서와 유사한 특징을 지니고 있다.
링크 개체를 이용한 악성 한글문서(HWP) 주의 – 코인업체 사칭
ASEC 분석팀은 지난주 코인업체를 사칭한 악성 한글 문서 파일이 유포됨을 확인하였다. 한글 파일에는 특정 코인 업체의 운영 정책이 변경되어 해당 사항을 확인하도록 하는 내용이 담겨있다. 파일 실행 시 내부에..
파일 실행 시 내부에 존재하는 악성 OLE 개체(VBS파일)가 %AppData%LocalTemp 폴더에 생성된다. 파일명이 hancom.configuration.vbs로 생성되어 사용자가 한글 설정파일로 착각할 수 있다.
[그림1] 파일 내부에 존재하는 OLE 개체
만약 한글 보안패치가 최신으로 적용되어 있다면, 다음과 같은 알림창이 생성된 후에 사용자가 허용을 클릭하여야만 악성 행위가 발현된다.
[그림2] 최신 한글버전에서 파일 실행 시 알림창
문서 정보는 아래와 같으며, 마지막으로 수정한 날짜가 2020년 11월 1일로 설정되어있다.
[그림3] 문서정보
문서 내부 페이지의 글들은 글 상자 개체로 존재하며 각 개체의 속성 제거 시 아래와 같이 악성 VBS 파일로의 하이퍼링크가 …
IoC
http://xeoskin.co.kr/wp/wp-includes/SimplePie/Net/cross.php?op=3
http://xeoskin.co.kr/wp/wp-includes/SimplePie/Net/cross.php?op=1
http://xeoskin.co.kr/wp/wp-includes/SimplePie/Net/
http://xeoskin.co.kr/wp/wp-includes/SimplePie/Net/suf.hta
http://xeoskin.co.kr/wp/wp-includes/SimplePie/Net/report.php
http://xeoskin.co.kr/wp/wp-includes/SimplePie/Net/cross.php?op=1
http://xeoskin.co.kr/wp/wp-includes/SimplePie/Net/
http://xeoskin.co.kr/wp/wp-includes/SimplePie/Net/suf.hta
http://xeoskin.co.kr/wp/wp-includes/SimplePie/Net/report.php