악성 OLE 개체가 삽입된 한글 문서 주의
Contents
AhnLab Security Emergency response Center(ASEC)은 국방, 언론 등 특정 분야의 관계자를 대상으로 하는 악성 OLE 개체가 삽입된 한글 문서(.hwp)를 확인하였다. 악성코드는 주로 메일에 삽입된 다운로드 URL 혹은 첨부 파일을 통해 유포되는 것으로 추정된다. 유포되는 문서의 파일명이 국방, 통일, 교육 및 방송 분야와 관련되어 있어 공격자는 해당 분야 관계자를 대상으로 악성코드를 유포하는 것으로 보인다.
본문에서 분석한 한글 문서는 크게 두 가지 유형으로, 외부 URL에 접속하는 유형과 추가 스크립트 파일을 생성하는 유형이 확인되었다. [유형 2]의 경우 기존 게시글[1] 에서 확인된 악성코드와 동작 방식이 유사하고 동일한 FTP 서버 Password를 사용하는 것으로 보아 같은 제작자로 추정된다.
각 유형의 간략한 동작 과정은 다음과 같다.
<유형 1>
이 유형은 한글 문서에 삽입된 OLE 개체를 통해 외부 URL에 접속하는 유형이다. 해당 유형으로 추정되는 한글 문서의 파일명은 다음과 같다.
|날짜||파일명|
|2023.05.25||통일** 큐시트5월29일 월.hwp|
|2023.05.25||20230508_교수회의자료_양식변경.hwp|
|2023.05.25||(***)2023-05-30 교수회의 자료.hwp|
|2023.05.30||지불확인서(*** 소장).hwp|
|2023.05.30||(양식)축의, 조의_지불확인서.hwp|
|2023.06.22||20230512_명박시나리오_세부.hwp|
|2023.06.22||1-1.전담조직 내 연구지원 별도기능 설치(**대학원대학교 산학협력단).hwp|
|2023.06.22||후** *** 전 총리 명예박사 수여식 총장님 참고자료.hwp|
|2023.06.23||[교원연수부-489 (첨부)] [붙임3] 강사카드(서식).hwp|
|2023.06.29||정쟁에 희생되고 있는 국가안보 수호기능.hwp|
|2023.07.11||통일**2023년4월30일(일).hwp|
|2023.07.17||특집 북한의 축산업과 삶의 질 조**.hwp|
|2023.07.20||42- 바그너의 교훈 (2023. …
본문에서 분석한 한글 문서는 크게 두 가지 유형으로, 외부 URL에 접속하는 유형과 추가 스크립트 파일을 생성하는 유형이 확인되었다. [유형 2]의 경우 기존 게시글[1] 에서 확인된 악성코드와 동작 방식이 유사하고 동일한 FTP 서버 Password를 사용하는 것으로 보아 같은 제작자로 추정된다.
각 유형의 간략한 동작 과정은 다음과 같다.
<유형 1>
이 유형은 한글 문서에 삽입된 OLE 개체를 통해 외부 URL에 접속하는 유형이다. 해당 유형으로 추정되는 한글 문서의 파일명은 다음과 같다.
|날짜||파일명|
|2023.05.25||통일** 큐시트5월29일 월.hwp|
|2023.05.25||20230508_교수회의자료_양식변경.hwp|
|2023.05.25||(***)2023-05-30 교수회의 자료.hwp|
|2023.05.30||지불확인서(*** 소장).hwp|
|2023.05.30||(양식)축의, 조의_지불확인서.hwp|
|2023.06.22||20230512_명박시나리오_세부.hwp|
|2023.06.22||1-1.전담조직 내 연구지원 별도기능 설치(**대학원대학교 산학협력단).hwp|
|2023.06.22||후** *** 전 총리 명예박사 수여식 총장님 참고자료.hwp|
|2023.06.23||[교원연수부-489 (첨부)] [붙임3] 강사카드(서식).hwp|
|2023.06.29||정쟁에 희생되고 있는 국가안보 수호기능.hwp|
|2023.07.11||통일**2023년4월30일(일).hwp|
|2023.07.17||특집 북한의 축산업과 삶의 질 조**.hwp|
|2023.07.20||42- 바그너의 교훈 (2023. …
IoC
0217e70fd7bc3a65ee0f2dd60ff85fbf
1061425d7e3d054a79f9294a2118b5da
2773acee87413790e9ace99c536c78ad
2ef182bced72da507d2e403ab9db3c9f
2f0a67b719d8303c0ec7cc9057ed8411
361237b6b385874f02f3724ae50d1522
4934226f319d82ae092ada2525a7feb5
7284a6376aa79a2384f797769b7ce086
77edb140b86596eabe3602bb7febb997
7f3a30525b9324a2aeb32a9018df944f
8cafe74f03605a9bfaea5081b3ed0fc2
a242741873637fdac8f69f2ffdba47bc
af5bbab33f934dc016fc1aa0d910820e
c16796909d5feea709d99e306f7e9975
d5d395d90ccf9a7309f2f64169a2c019
f416b44332b4fb394b4735634cb07ff2
http://host.sharingdocument.one/dashboard/explore/starred?hwpview=
http://mail.smartprivacyc.com/get/account/view?myact=
http://plm.myartsonline.com
https://raw.githubusercontent.com/babaramam/repo/main/down.txt
https://raw.githubusercontent.com/babaramam/repo/main/info.txt
https://raw.githubusercontent.com/babaramam/repo/main/pq.txt
https://raw.githubusercontent.com/babaramam/repo/main/upload.txt
1061425d7e3d054a79f9294a2118b5da
2773acee87413790e9ace99c536c78ad
2ef182bced72da507d2e403ab9db3c9f
2f0a67b719d8303c0ec7cc9057ed8411
361237b6b385874f02f3724ae50d1522
4934226f319d82ae092ada2525a7feb5
7284a6376aa79a2384f797769b7ce086
77edb140b86596eabe3602bb7febb997
7f3a30525b9324a2aeb32a9018df944f
8cafe74f03605a9bfaea5081b3ed0fc2
a242741873637fdac8f69f2ffdba47bc
af5bbab33f934dc016fc1aa0d910820e
c16796909d5feea709d99e306f7e9975
d5d395d90ccf9a7309f2f64169a2c019
f416b44332b4fb394b4735634cb07ff2
http://host.sharingdocument.one/dashboard/explore/starred?hwpview=
http://mail.smartprivacyc.com/get/account/view?myact=
http://plm.myartsonline.com
https://raw.githubusercontent.com/babaramam/repo/main/down.txt
https://raw.githubusercontent.com/babaramam/repo/main/info.txt
https://raw.githubusercontent.com/babaramam/repo/main/pq.txt
https://raw.githubusercontent.com/babaramam/repo/main/upload.txt