탈륨 조직, 코로나19 관련 소상공인 지원 종합안내로 위장한 HWP 공격
Contents
안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.
이번 글에서는 최근 발견된 탈륨 조직 배후의 악성 HWP 문서파일 분석 내용을 기술하고, 어떤 위협사례와 유사한지 소개해 보고자 합니다.
해당 악성 문서는 다음과 같은 정보을 가지고 있으며, 마지막 수정날짜 기준으로 보면 2020년 11월 경 제작됐습니다.
· 파일 이름 : 신종_코로나바이러스_관련_소상공인_지원_종합안내.hwp |
먼저 HWP 내부 구조를 살펴보면, BinData 위치에 3개의 OLE 오브젝트가 포함된 것을 확인할 수 있고, 2개의 png 이미지 파일이 존재합니다.
먼저 'BIN0001.png' 파일은 정상 이미지로 마치 HWP 문서 파일에서 보여주는 공지 화면처럼 디자인되어 있고, 'BIN0002.png' 파일은 [확인] 버튼을 가진 이미지 입니다.
그래서 악성 HWP 문서가 실행되면, 가짜 메시지 창으로 사용하고 [확인]버튼 이미지에 악성 OLE 오브젝트를 연결해 이용자 스스로 실행하도록 유도하는 교묘한 수법을 사용했습니다.
각각의 OLE 내부 구조를 살펴보면, 제작자는 'DefaultAccounts' 계정에서 'apisecurity.bat' 파일에 접근한 모습과 'apisecurity.key' 파일명으로 악성 DLL 파일을 설정한 것을 확인할 수 있습니다. 그리고 'apisecurity.vbs' 스크립트를 이용해 실행을 유도하게 됩니다.
실제로 해당 문서가 실행되면 마치 문서 내용이 올바르게 표시되지 않는 것처럼 OLE 이미지 파일로 만든 가짜 메시지 창(묶음 개체)을 보여주어, 이용자 …
이번 글에서는 최근 발견된 탈륨 조직 배후의 악성 HWP 문서파일 분석 내용을 기술하고, 어떤 위협사례와 유사한지 소개해 보고자 합니다.
해당 악성 문서는 다음과 같은 정보을 가지고 있으며, 마지막 수정날짜 기준으로 보면 2020년 11월 경 제작됐습니다.
· 파일 이름 : 신종_코로나바이러스_관련_소상공인_지원_종합안내.hwp |
먼저 HWP 내부 구조를 살펴보면, BinData 위치에 3개의 OLE 오브젝트가 포함된 것을 확인할 수 있고, 2개의 png 이미지 파일이 존재합니다.
먼저 'BIN0001.png' 파일은 정상 이미지로 마치 HWP 문서 파일에서 보여주는 공지 화면처럼 디자인되어 있고, 'BIN0002.png' 파일은 [확인] 버튼을 가진 이미지 입니다.
그래서 악성 HWP 문서가 실행되면, 가짜 메시지 창으로 사용하고 [확인]버튼 이미지에 악성 OLE 오브젝트를 연결해 이용자 스스로 실행하도록 유도하는 교묘한 수법을 사용했습니다.
각각의 OLE 내부 구조를 살펴보면, 제작자는 'DefaultAccounts' 계정에서 'apisecurity.bat' 파일에 접근한 모습과 'apisecurity.key' 파일명으로 악성 DLL 파일을 설정한 것을 확인할 수 있습니다. 그리고 'apisecurity.vbs' 스크립트를 이용해 실행을 유도하게 됩니다.
실제로 해당 문서가 실행되면 마치 문서 내용이 올바르게 표시되지 않는 것처럼 OLE 이미지 파일로 만든 가짜 메시지 창(묶음 개체)을 보여주어, 이용자 …
IoC
ftp://u:[email protected]/beta/usoprive
http://b.smtper.co/beta/usoprive
http://b.smtper.co/beta/usoprive