학술대회 지원관련 한글(HWP) 악성코드 유포 중
Contents
학술대회 지원관련 한글(HWP) 악성코드 유포 중
ASEC 분석팀은 지난 6월 4일 “국내 학술대회 시즌을 노린 한글문서(HWP) 악성코드 유포 중“이라는 제목으로 블로그를 통해 분석 정보를 공유하였다.
국내 학술대회 시즌을 노린 한글문서(HWP) 악성코드 유포 중
ASEC 분석팀은 지난 5월에 다양한 주제별로 유포 중인 한글문서(HWP) 악성코드에 대해 아래의 블로그를 통해 공유하였다. ‘부동산 관련’ 제목으로 유포하던 것에서 최근에는 국내 학술대회 일정에 맞추어 논문, 학..
코로나19로 인해 여러 학회에서 온라인으로 학술 대회를 진행 및 개최 논의가 되고 있는 가운데 6월 18일 “온라인 학술대회 한시적 지원 관련 Q&A.hwp”라는 제목의 한글 악성코드 유포가 확인되어 사용자 주의가 필요하다. 유포지로 확인된 곳은 첨부파일이 현재 삭제된 상태이다.
[그림 1] 악성 한글문서 유포지
해당 한글문서에서 사용된 동작방식은 6월부터 시작된 것으로 확인되며, 다양한 윈도우 시스템 프로세스(forfiles.exe, curl.exe, certutil.exe)를 이용하여 동작하는 형태로 보안제품의 행위탐지 우회를 시도한 것으로 추정된다.
[그림 2] 악성 한글파일 문서 내용
이번에 확인된 한글 악성코드는 과거에 여러 차례 유포된 형태와 같이 파일 내부의 악성 포스트스크립트(EPS) 취약점인 CVE-2017-8291에 의해 동작한다.
[그림 3] EPS 취약점 코드
해당 쉘코드는 최종적으로 x64 환경에서 동작하는 …
ASEC 분석팀은 지난 6월 4일 “국내 학술대회 시즌을 노린 한글문서(HWP) 악성코드 유포 중“이라는 제목으로 블로그를 통해 분석 정보를 공유하였다.
국내 학술대회 시즌을 노린 한글문서(HWP) 악성코드 유포 중
ASEC 분석팀은 지난 5월에 다양한 주제별로 유포 중인 한글문서(HWP) 악성코드에 대해 아래의 블로그를 통해 공유하였다. ‘부동산 관련’ 제목으로 유포하던 것에서 최근에는 국내 학술대회 일정에 맞추어 논문, 학..
코로나19로 인해 여러 학회에서 온라인으로 학술 대회를 진행 및 개최 논의가 되고 있는 가운데 6월 18일 “온라인 학술대회 한시적 지원 관련 Q&A.hwp”라는 제목의 한글 악성코드 유포가 확인되어 사용자 주의가 필요하다. 유포지로 확인된 곳은 첨부파일이 현재 삭제된 상태이다.
[그림 1] 악성 한글문서 유포지
해당 한글문서에서 사용된 동작방식은 6월부터 시작된 것으로 확인되며, 다양한 윈도우 시스템 프로세스(forfiles.exe, curl.exe, certutil.exe)를 이용하여 동작하는 형태로 보안제품의 행위탐지 우회를 시도한 것으로 추정된다.
[그림 2] 악성 한글파일 문서 내용
이번에 확인된 한글 악성코드는 과거에 여러 차례 유포된 형태와 같이 파일 내부의 악성 포스트스크립트(EPS) 취약점인 CVE-2017-8291에 의해 동작한다.
[그림 3] EPS 취약점 코드
해당 쉘코드는 최종적으로 x64 환경에서 동작하는 …
IoC
https://www.thestreetsmartsalesman.com/wp-content/uploads/wp-logs/category.php
https://asec.ahnlab.com/1093
https://asec.ahnlab.com/1093