lazarusholic

2020-11-25, Ahnlab
https://asec.ahnlab.com/ko/16383/
#CVE-2018-15982 #akdoor

한글문서(HWP) 내부 플래쉬 취약점 이용한 새로운 공격
ASEC 분석팀은 한글문서에 플래시 취약점(CVE-2018-15982) 개체를 삽입한 형태의 새로운 공격 정황을 자사 ASD(AhnLab Smart Defense) 인프라를 통해 확인하였다. 최근까지 공격자가 악성 OLE 개체를 한글문서에 삽입하여 유포하는 방식은 여러차례 블로그를 통해서 소개(https://asec.ahnlab.com/ko/1354, https://asec.ahnlab.com/ko/1400)한 바 있다.
이번에 확인된 플래시 취약점 활용한 사례를 통해서 공격자는 VBS(Visual Basic Script), JS(JavaScript) 뿐만 아니라 SWF(Shock Wave Flash) 등 다양한 스크립트 형태의 포맷들을 한글 문서 내에 OLE 개체로 삽입하여 유포한다는 것을 알 수 있다.
한글문서는 다음과 같은 파일명을 통해 유포된 것으로 확인 되었다.
- 통일한국포럼 – 참가자 사례비 지급용 프로필 양식.hwp
- 이력서 조충희.hwp
한글문서 파일은 확인되지 않았지만, 공격 정황을 보았을 때 문서 내부에는 플래시 취약점(CVE-2018-15982) 파일의 주소(hxxp://www.sjem.co.kr/admin/data/category/notice_en/view.php)가 담긴 OLE 개체가 삽입되어 사용자가 문서를 열람하면서 플래시 파일이 다운로드 및 실행된 것으로 보인다. 이러한 방식으로 한글문서 내부에서 플래시 개체가 실행될 경우 취약점이 존재하는 플래시 모듈이 웹 브라우저가 아닌, 한글 프로세스(HWP.EXE) 메모리에서 동작하기 때문에 공격자는 보안 제품의 우회 목적으로 이 방식을 사용한 것으로 추정된다. 2020년 12월로 예정된 구글 …

http://kumdo.org/admin/cont/do.php?id=*******_VJ01_6.1(7600
http://www.sjem.co.kr/admin/data/category/notice_en/view.php
https://asec.ahnlab.com/ko/1354
https://asec.ahnlab.com/ko/1400
http://haeundaejugong.com/editor/chinotto/do.php?frag=******-********_6.2(9200
http://haeundaejugong.com/editor/chinotto/do.php?id=******-********_6.2(9200