원산지 조사 자율 점검표' 한글(HWP) 악성코드 유포
Contents
‘원산지 조사 자율 점검표’ 한글(HWP) 악성코드 유포
ASEC 분석팀은 7월 23일 악성 EPS를 포함한 한글 문서가 유포되고 있음을 확인하였다. 문서에 포함된 악성 PS(Post Script)파일의 주요 행위는 7월 15일 아래의 글을 통해 확인한 코로나 예측 결과 위장 엑셀문서와 유사하다. 해당 문서에는 원산지 조사 자율 점검표가 존재하며, 문서 정보로 보아 실제 ‘국가법령정부센터’에서 제공한 문서를 악의적으로 가공한 것으로 추정된다.
코로나 예측 결과 위장 악성 문서(xls) 유포 중
올해 코로나 관련된 주제의 악성코드가 끊임없이 발견되고 있는 가운데 이번에도 ASEC 분석팀에서는 ‘코로나 예측 결과’에 대한 내용으로 사용자를 속여 메일과 문서를 열람하도록한 공격을 확인하였다. 피싱 메일..
한글 문서 내용
문서 정보
한글문서 첫 페이지 우측 상단에는 아래의 그림과 같이 사용자가 알아차리기 어려운 형태로 PS 파일이 존재한다.
문서 내부에 포함된 ps파일
해당 PS 파일에는 7월 15일에 공유한 코로나 예측결과 관련 악성 엑셀(xls) 문서와 유사한 CMD 명령어를 수행하는 쉘코드가 삽입되어 있다. 한글문서에 포함된 EPS 스크립트 코드는 다음과 같다.
/buffer1 16#FFFF def /buffer2 buffer1 array def /buffer3 (poor) def /buffer4 1 array def /buffer5 0 def /buffer_str_count 16#100 …
ASEC 분석팀은 7월 23일 악성 EPS를 포함한 한글 문서가 유포되고 있음을 확인하였다. 문서에 포함된 악성 PS(Post Script)파일의 주요 행위는 7월 15일 아래의 글을 통해 확인한 코로나 예측 결과 위장 엑셀문서와 유사하다. 해당 문서에는 원산지 조사 자율 점검표가 존재하며, 문서 정보로 보아 실제 ‘국가법령정부센터’에서 제공한 문서를 악의적으로 가공한 것으로 추정된다.
코로나 예측 결과 위장 악성 문서(xls) 유포 중
올해 코로나 관련된 주제의 악성코드가 끊임없이 발견되고 있는 가운데 이번에도 ASEC 분석팀에서는 ‘코로나 예측 결과’에 대한 내용으로 사용자를 속여 메일과 문서를 열람하도록한 공격을 확인하였다. 피싱 메일..
한글 문서 내용
문서 정보
한글문서 첫 페이지 우측 상단에는 아래의 그림과 같이 사용자가 알아차리기 어려운 형태로 PS 파일이 존재한다.
문서 내부에 포함된 ps파일
해당 PS 파일에는 7월 15일에 공유한 코로나 예측결과 관련 악성 엑셀(xls) 문서와 유사한 CMD 명령어를 수행하는 쉘코드가 삽입되어 있다. 한글문서에 포함된 EPS 스크립트 코드는 다음과 같다.
/buffer1 16#FFFF def /buffer2 buffer1 array def /buffer3 (poor) def /buffer4 1 array def /buffer5 0 def /buffer_str_count 16#100 …
IoC
http://www.trebat.co/wp-content/uploads/2018/03/new-blue-container.jpg
http://nextlevelliving.pro/wp-content/uploads/js_composer/images/8c206b81-f5b1-4242-84d3-237ce728ff35.php?uid=0^&udx=[
http://nextlevelliving.pro/wp-includes/ID3/sample.jpg
http://nextlevelliving.pro/wp-content/uploads/js_composer/images/8c206b81-f5b1-4242-84d3-237ce728ff35.php?uid=0^&udx=[
http://nextlevelliving.pro/wp-includes/ID3/sample.jpg