북한이탈주민(탈북민) 자문위원대상 의견수렴 설문지 위장 北 연계 해킹 주의
Contents
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
북한이탈주민(탈북민) 자문위원들에게 의견을 수렴하는 내용처럼 위장한 HWP 악성 문서 기반 北 연계 해킹 공격이 발견되어 사용자들의 각별한 주의가 필요합니다.
이번 공격은 마치 북한이탈주민 자문위원을 대상으로 한 의견수렴 설문지처럼 위장한 것이 특징이며, 공격자는 HWP 한글 문서 내부에 OLE(개체 연결 삽입) 기능을 악용했습니다.
공격자는 수신자가 문서를 실행하면 ‘상위 버전에서 작성한 문서입니다.’ 등의 가짜 메세지 창을 띄워 사용자의 클릭을 유도하며 사용자가 확인 버튼을 누르면, HWP 파일 내 삽입되어 있는 OLE 기능을 통하여 배치(Bat) 파일과 파워셸(Powershell) 명령어를 통해 국내 특정 서버로 통신을 시도합니다.
해당 메세지 창은 정상 HWP 문서에서도 자주 볼 수 있는 문구이기 때문에 사용자들이 별 의심없이 [확인]버튼을 클릭할 수 있습니다. 이는 HWP의 보안 취약점이 아니기 때문에 버전과 상관 없이 한컴 오피스를 사용하는 사용자들이 공격 대상이 될 수 있어 이러한 별도이 메세지 창이 뜨면 클릭 전 각별한 주의를 기울여야 합니다.
주목할 점은, 명령제어(C2) 서버로 통신을 시도할 때, 외부에 노출되는 것을 숨기기 위하여 작업 스케줄러에 잠복 기능처럼 동작 조건을 추가했으며, 마치 이스트소프트 프로그램처럼 위장하는 수법을 …
북한이탈주민(탈북민) 자문위원들에게 의견을 수렴하는 내용처럼 위장한 HWP 악성 문서 기반 北 연계 해킹 공격이 발견되어 사용자들의 각별한 주의가 필요합니다.
이번 공격은 마치 북한이탈주민 자문위원을 대상으로 한 의견수렴 설문지처럼 위장한 것이 특징이며, 공격자는 HWP 한글 문서 내부에 OLE(개체 연결 삽입) 기능을 악용했습니다.
공격자는 수신자가 문서를 실행하면 ‘상위 버전에서 작성한 문서입니다.’ 등의 가짜 메세지 창을 띄워 사용자의 클릭을 유도하며 사용자가 확인 버튼을 누르면, HWP 파일 내 삽입되어 있는 OLE 기능을 통하여 배치(Bat) 파일과 파워셸(Powershell) 명령어를 통해 국내 특정 서버로 통신을 시도합니다.
해당 메세지 창은 정상 HWP 문서에서도 자주 볼 수 있는 문구이기 때문에 사용자들이 별 의심없이 [확인]버튼을 클릭할 수 있습니다. 이는 HWP의 보안 취약점이 아니기 때문에 버전과 상관 없이 한컴 오피스를 사용하는 사용자들이 공격 대상이 될 수 있어 이러한 별도이 메세지 창이 뜨면 클릭 전 각별한 주의를 기울여야 합니다.
주목할 점은, 명령제어(C2) 서버로 통신을 시도할 때, 외부에 노출되는 것을 숨기기 위하여 작업 스케줄러에 잠복 기능처럼 동작 조건을 추가했으며, 마치 이스트소프트 프로그램처럼 위장하는 수법을 …
IoC
hanainternational.net