사례비 지급 내용으로 위장한 OneNote 악성코드 (Kimsuky)
Contents
AhnLab Security Emergency response Center(ASEC)에서는 사례비 지급 내용으로 위장한 원노트(OneNote) 악성코드가 유포 중임을 확인하였다. 확인된 파일은 아래 블로그에 작성된 LNK 유형의 악성코드와 동일한 연구소를 사칭하고 있으며 실행되는 VBS 파일의 악성 행위가 유사한 것으로 보아 동일 공격 그룹의 소행으로 확인된다.
AhnLab Security Emergency response Center(ASEC)은 지난 달 패스워드 파일로 위장하여 정상 문서 파일과 함께 압축 파일로 유포되는 악성코드를 확인하였다. 해당 유형의 악성코드는 정상 문서 파일을 함께 유포함으로써 사용자가 악성 파일임을 알아채기 어렵다. 최근 확인된 악성코드는 CHM과 LNK 형식으로, CHM의 경우 아래에 소개한 악성코드와 동일한 유형으로 같은 공격 그룹에서 제작한 것으로 보인다. CHM과 LNK 파일은 모두 암호가 설정된 정상 문서 파일과 함께 압축되어 유포된 것으로 추정된다. 엑셀 및 한글 파일의 경우 암호가 설정되어 있어 사용자가 암호가 적힌 것으로 보여지는 CHM 및 LNK 파일을 실행하도록...
원 노트 파일 실행 시 다음과 같이 사례비 지급 내용을 담고 있으며, 한글 문서가 첨부된 것으로 보이는 위치를 클릭하도록 유도한다.
해당 위치에는 [그림 2]와 같이 한글 문서가 아닌 personal.vbs 명의 악성 …
AhnLab Security Emergency response Center(ASEC)은 지난 달 패스워드 파일로 위장하여 정상 문서 파일과 함께 압축 파일로 유포되는 악성코드를 확인하였다. 해당 유형의 악성코드는 정상 문서 파일을 함께 유포함으로써 사용자가 악성 파일임을 알아채기 어렵다. 최근 확인된 악성코드는 CHM과 LNK 형식으로, CHM의 경우 아래에 소개한 악성코드와 동일한 유형으로 같은 공격 그룹에서 제작한 것으로 보인다. CHM과 LNK 파일은 모두 암호가 설정된 정상 문서 파일과 함께 압축되어 유포된 것으로 추정된다. 엑셀 및 한글 파일의 경우 암호가 설정되어 있어 사용자가 암호가 적힌 것으로 보여지는 CHM 및 LNK 파일을 실행하도록...
원 노트 파일 실행 시 다음과 같이 사례비 지급 내용을 담고 있으며, 한글 문서가 첨부된 것으로 보이는 위치를 클릭하도록 유도한다.
해당 위치에는 [그림 2]와 같이 한글 문서가 아닌 personal.vbs 명의 악성 …
IoC
aa756b20170aa0869d6f5d5b5f1b7c37
f2a0e92b80928830704a00c91df87644
http://delps.scienceontheweb.net/ital/info/list.php?query=1
http://delps.scienceontheweb.net/ital/info/sample.hwp
f2a0e92b80928830704a00c91df87644
http://delps.scienceontheweb.net/ital/info/list.php?query=1
http://delps.scienceontheweb.net/ital/info/sample.hwp