lazarusholic

2022-08-29, Ahnlab
https://asec.ahnlab.com/ko/38216/
#CVE-2018-15982

ASEC 분석팀은 최근 OLE 개체 및 플래쉬 취약점 이용한 악성 한글 문서를 확인하였다. 해당 취약점은 2020년 공유한 <한글문서(HWP) 내부 플래쉬 취약점 이용한 새로운 공격> 게시글에서 소개되었으며, 이번에 확인된 파일에도 당시와 동일한 악성 URL을 사용하고 있다. 해당 URL에는 여전히 플래시 취약점(CVE-2018-15982) 파일이 업로드되어 있어 사용자의 주의가 필요하다.
확인된 한글 파일 내부에는 OLE 개체가 삽입되어 있으며 해당 파일들은 한글 문서 실행 시 %TEMP% 폴더에 생성된다. 생성되는 파일은 다음과 같다. 기존에 알려진 powershell.exe, mshta.exe 파일을 바로 이용하지 않고, %TEMP% 경로에 복사하여 이용한 점은 행위탐지 기능을 우회하기 위한 시도로 추정된다.
|파일명||설명|
|hword.exe||정상 powershell 프로그램|
|hwp.exe||정상 mshta 프로그램|
|hwp.lnk||악성 링크 파일|
|1234dd.tmp||추가 악성 한글 파일|
공격자는 개체를 삽입한 위치 앞에 하얀색 이미지를 두어 삽입된 OLE 개체가 보여지지 않도록 하였다. 문서에 삽입된 OLE 개체 중 hword.exe와 hwp.exe는 모두 win10 환경에서 동작 가능한 정상 파일이다.
문서 내용으로 보아 과거와 유사하게 프로필 양식 등의 제목으로 유포되었을 것으로 추정된다. 공격자는 생성한 악성 파일들을 실행하기 위해 각 칸에 공백을 작성한 후 하이퍼링크를 설정하였다.
따라서 사용자가 양식을 작성하기 위해 해당 …

2f4ed70149da3825be16b6057bf7b8df
330f2f1eb6dc3d753b756a27694ef89b
65993d1cb0d1d7ce218fb267ee36f7c1
76f8ccf8313af617df28e8e1f7f39f73
804d12b116bb40282fbf245db885c093
9a13173df687549cfce3b36d8a4e20d3
caa923803152dd9e6b5bf7f6b816ae98
http://www.sjem.co.kr/admin/data/category/notice_en/view.php
http://yukkimmo.sportsontheweb.net/2247529.txt
http://yukkimmo.sportsontheweb.net/h.txt
http://yukkimmo.sportsontheweb.net/hw.php