‘코로나바이러스 피해 소상공인 경영안정자금’ 이름의 한글문서 유포
Contents
‘코로나바이러스 피해 소상공인 경영안정자금’ 이름의 한글문서 유포
ASEC 분석팀은 현재 코로나19로 어려움을 겪고있는 소상공인을 대상으로 악성 한글 문서를 유포하는 정황을 포착하였다. 공격자는 한글 문서에 악성 PostScript를 삽입하거나 악성 OLE 개체를 삽입하였으며, 다음과 같은 파일명을 통해 악성 문서를 유포한 것으로 확인 되었다.
- 코로나바이러스감염증-19 피해 소상공인 경영안정자금 공고.hwp
- 2020년 중소벤처기업부 소관 소상공인 정책자금 융자계획 변경 공고.hwp
- 발주서(산단)_컴퓨터 2대.hwp
- 최근거래내역.hwp
실제 공격에 사용된 한글 문서 파일은 수집되지 않았지만, 위에서 언급한 파일명 중 “코로나바이러스감염증-19 피해 소상공인 경영안정자금 공고.hwp”의 경우 중소벤처기업부 공식 사이트에서 [그림 1]과 같은 동일한 파일명의 한글 문서 파일을 확인할 수 있다. 공격자는 해당 한글 문서 파일과 같이 정상 문서에 악성 PostScript 및 OLE 개체를 삽입하여 소상공인 대상으로 악성 문서를 유포하였을 것으로 추정된다.
[그림 1] 코로나바이러스감염증-19 피해 소상공인 경영안정자금 공고.hwp (정상 문서)
해당 한글 문서 열람 시 기존에 알려진 방식대로 PostScript 문법을 사용하여 악성 DLL 파일을 다운로드 하거나, 악성 OLE 개체(스크립트)를 통해 악성 DLL을 드롭 및 실행한다.
- wscapi.dll (컴파일 시간 : Dec 03 2020 10:43:54 GMT+09)
- mss.dat …
ASEC 분석팀은 현재 코로나19로 어려움을 겪고있는 소상공인을 대상으로 악성 한글 문서를 유포하는 정황을 포착하였다. 공격자는 한글 문서에 악성 PostScript를 삽입하거나 악성 OLE 개체를 삽입하였으며, 다음과 같은 파일명을 통해 악성 문서를 유포한 것으로 확인 되었다.
- 코로나바이러스감염증-19 피해 소상공인 경영안정자금 공고.hwp
- 2020년 중소벤처기업부 소관 소상공인 정책자금 융자계획 변경 공고.hwp
- 발주서(산단)_컴퓨터 2대.hwp
- 최근거래내역.hwp
실제 공격에 사용된 한글 문서 파일은 수집되지 않았지만, 위에서 언급한 파일명 중 “코로나바이러스감염증-19 피해 소상공인 경영안정자금 공고.hwp”의 경우 중소벤처기업부 공식 사이트에서 [그림 1]과 같은 동일한 파일명의 한글 문서 파일을 확인할 수 있다. 공격자는 해당 한글 문서 파일과 같이 정상 문서에 악성 PostScript 및 OLE 개체를 삽입하여 소상공인 대상으로 악성 문서를 유포하였을 것으로 추정된다.
[그림 1] 코로나바이러스감염증-19 피해 소상공인 경영안정자금 공고.hwp (정상 문서)
해당 한글 문서 열람 시 기존에 알려진 방식대로 PostScript 문법을 사용하여 악성 DLL 파일을 다운로드 하거나, 악성 OLE 개체(스크립트)를 통해 악성 DLL을 드롭 및 실행한다.
- wscapi.dll (컴파일 시간 : Dec 03 2020 10:43:54 GMT+09)
- mss.dat …
IoC
ftp://u:[email protected]/gate/usoprive
ftp://d:[email protected]/design/usoprive
http://otp.greenulz.com/assets/logo.png
http://g.smtper.cz/log/d/s.png
ftp://d:[email protected]/design/usoprive
http://otp.greenulz.com/assets/logo.png
http://g.smtper.cz/log/d/s.png