특정 항공사 자소서로 위장한 RTF 악성코드
Contents
ASEC 분석팀은 이번달(10월) 초에 특정 항공사 자소서로 위장한 RTF 문서형 악성코드를 확인하였다. 다른 문서형 악성코드(워드, 엑셀 등)에 비해 자주 등장하는 류의 문서형태는 아닌 형태로 특정 문서를 위장한 RTF 악성코드는 오랜만에 발견된 케이스이다.
- 유포 파일명 : ****항공사 자소서_.rtf
해당 RTF 문서는 MS오피스에 포함된 수식 편집기 프로그램인 EQNEDT32.EXE 관련 취약점(CVE-2017-11882)이 사용 되었으며 본문에는 자소서의 내용이 작성되다만 듯 마지막 문장이 마무리되지 못하고 끝나있다.
이 문서는 10월 1일에 최초 제작되어 10월 4일에 최종 수정된 것으로 확인되며 아래와 같이 취약점이 발생할 경우 특정 네트워크에 접속하여 추가 파일을 다운로드 할 것으로 보인다.
- hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.png
- hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.jpg
현재는 해당 주소가 활성화되어있지 않아 추가 받아오는 데이터를 확인하기는 어렵다. 활성화 시에 해당 주소로 부터 추가 데이터(악성코드)를 다운로드 받아 동작할 것으로 보인다.
이때 사용된 악성 네트워크 주소는 과거 2019년에 악성 EPS를 포함한 한글(HWP)악성코드가 사용했던 C2 주소와 동일한 것으로 보아 동일 그룹이 제작한 것으로 보이며 외부 트위터에서는 이번 RTF를 제작한 그룹으로 라자루스(Lazarus)를 언급하고 있다.
사용자들은 출처가 분명하지 않은 문서의 열람을 자제해야하며 사용하는 응용 프로그램 및 V3를 최신 버전으로 …
- 유포 파일명 : ****항공사 자소서_.rtf
해당 RTF 문서는 MS오피스에 포함된 수식 편집기 프로그램인 EQNEDT32.EXE 관련 취약점(CVE-2017-11882)이 사용 되었으며 본문에는 자소서의 내용이 작성되다만 듯 마지막 문장이 마무리되지 못하고 끝나있다.
이 문서는 10월 1일에 최초 제작되어 10월 4일에 최종 수정된 것으로 확인되며 아래와 같이 취약점이 발생할 경우 특정 네트워크에 접속하여 추가 파일을 다운로드 할 것으로 보인다.
- hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.png
- hxxps://gozdeelektronik[.]net/wp-content/themes/0111/movie.jpg
현재는 해당 주소가 활성화되어있지 않아 추가 받아오는 데이터를 확인하기는 어렵다. 활성화 시에 해당 주소로 부터 추가 데이터(악성코드)를 다운로드 받아 동작할 것으로 보인다.
이때 사용된 악성 네트워크 주소는 과거 2019년에 악성 EPS를 포함한 한글(HWP)악성코드가 사용했던 C2 주소와 동일한 것으로 보아 동일 그룹이 제작한 것으로 보이며 외부 트위터에서는 이번 RTF를 제작한 그룹으로 라자루스(Lazarus)를 언급하고 있다.
사용자들은 출처가 분명하지 않은 문서의 열람을 자제해야하며 사용하는 응용 프로그램 및 V3를 최신 버전으로 …
IoC
dd8bb1686f16924ac797620092776022
https://gozdeelektronik.net/wp-content/themes/0111/movie.jpg
https://gozdeelektronik.net/wp-content/themes/0111/movie.png
https://gozdeelektronik.net/wp-content/themes/0111/movie.jpg
https://gozdeelektronik.net/wp-content/themes/0111/movie.png