부동산 투자관련 메일로 유포 중인 한글 악성코드 (EPS사용)
Contents
부동산 투자관련 메일로 유포 중인 한글 악성코드 (EPS사용)
지난 4월부터 증가한 악성 한글 파일의 유포가 여전히 지속 되고있다. ASEC에서는 지난 주 부동한 투자관련 내용으로 위장한 한글 문서(.HWP)가 메일을 통해 유포되고 있음을 알리고자 한다. 아래 [그림1]과 같이 부동산 투자 관련한 제목의 메일에 여러개의 한글 문서들을 첨부하였고 이 첨부된 문서 중 악성 한글 파일을 포함하였다.
메일과 문서 내용을 위와 같이 그럴듯하게 작성하여 사용자가 방심하도록 유도 후 악성 한글 파일을 실행하도록한다. 실행 된 이 한글 파일은 내부에 있는 악성 포스트스크립트(EPS)가 동작하여 악성의 기능을 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 발생시켜 내부 코드를 실행하도록 한다.
해당 코드는 %appdata%MicrosoftInternet Explorersecurity.vbs를 생성하여 동작하며 그 내용은 아래와 같이 악성 URL에 접속하여 추가 파일을 다운로드하고 해당 파일을 실행하도록 한다.
- 악성 파일 다운로드 주소 : https://sixbitsmedia.com/wp-content/uploads/wp-logs/category.php?uid=0
- 생성 파일 명 : %appdata%MicrosoftInternet Explorersecurity.db
- 실행 명령 : rundll32 security.db, InstallSafari
- C&C : https://mokawafm.com/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/dialog.php
추가 인코딩 된 악성 데이터를 다운로드하며 이 악성 파일은 위 코드에 명시된 것처럼 base64 디코딩을 수행하여 최종 DLL로 저장되어 실행한다. 위 rundll32 …
지난 4월부터 증가한 악성 한글 파일의 유포가 여전히 지속 되고있다. ASEC에서는 지난 주 부동한 투자관련 내용으로 위장한 한글 문서(.HWP)가 메일을 통해 유포되고 있음을 알리고자 한다. 아래 [그림1]과 같이 부동산 투자 관련한 제목의 메일에 여러개의 한글 문서들을 첨부하였고 이 첨부된 문서 중 악성 한글 파일을 포함하였다.
메일과 문서 내용을 위와 같이 그럴듯하게 작성하여 사용자가 방심하도록 유도 후 악성 한글 파일을 실행하도록한다. 실행 된 이 한글 파일은 내부에 있는 악성 포스트스크립트(EPS)가 동작하여 악성의 기능을 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 발생시켜 내부 코드를 실행하도록 한다.
해당 코드는 %appdata%MicrosoftInternet Explorersecurity.vbs를 생성하여 동작하며 그 내용은 아래와 같이 악성 URL에 접속하여 추가 파일을 다운로드하고 해당 파일을 실행하도록 한다.
- 악성 파일 다운로드 주소 : https://sixbitsmedia.com/wp-content/uploads/wp-logs/category.php?uid=0
- 생성 파일 명 : %appdata%MicrosoftInternet Explorersecurity.db
- 실행 명령 : rundll32 security.db, InstallSafari
- C&C : https://mokawafm.com/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/dialog.php
추가 인코딩 된 악성 데이터를 다운로드하며 이 악성 파일은 위 코드에 명시된 것처럼 base64 디코딩을 수행하여 최종 DLL로 저장되어 실행한다. 위 rundll32 …
IoC
https://mokawafm.com/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/dialog.php
http://51.81.21.96
https://sixbitsmedia.com/wp-content/uploads/wp-logs/category.php?uid=0
51.81.21.96
fb62b1ef85a58b7a9f04d016fbe616f5
http://51.81.21.96
https://sixbitsmedia.com/wp-content/uploads/wp-logs/category.php?uid=0
51.81.21.96
fb62b1ef85a58b7a9f04d016fbe616f5