활발하게 유포 중인 BAT 스크립트 포함한 악성 한글문서 (북한/국방/방송)
Contents
ASEC 분석팀은 한글 문서의 정상 기능(OLE 개체 연결 삽입)을 악용하는 APT 문서가 최근 활발하게 유포 중임을 확인하였다. 지난 3월 3일 소개한 “20대 대통령선거 선상투표 보도자료 가장한 악성 한글문서 유포” 사례 이후로 공격자는 국방, 대북, 방송 관계자들을 대상으로 지속적으로 악성 한글 문서를 유포하고있다.
악성 한글 문서의 동작 방식은 한글 문서 안에 삽입된 OLE 개체(배치파일)가 실행되고, 이후 파워쉘을 통해 쉘코드를 정상 프로세스에 인젝션하여 동작한다. 이때 공격자는 OLE 개체(배치파일)가 실행될 수 있도록 사용자의 본문 클릭을 유도하는 문구를 주로 삽입한다.
아래의 한글 문서 목록은 이러한 동작 방식으로 유포된 악성 한글 문서의 파일명이다. 공격은 국방, 대북, 방송 관계자 대상으로 수행되었으며 유포는 PC 메신저와 웹 브라우저을 통해 다운로드되는 정황이 확인되었다.
• 검토용_정치의 이해 6교(수정반영본)_20220507.hwp (2022.05.10)
• 동평연 입회신청서(2022).hwp (2022.05.11)
• 혁신수업질문지.hwp (2022.05.18)
• 북한 코로나 사태 분석.hwp (2022.05.20)
• 동평연 입회신청서(김XX).hwp (2022.05.20)
• 김XX이력서.hwp (2022.05.20)
• 2022년도 공고문 주요 부분 발췌.hwp (2022.05.23)
• (연구자문위원회)_국회미래연구원_연구과제_수요조사.hwp (2022.05.25)
• 8교_완료_정치의 이해_편집자.hwp (2022.05.26)
• 220530- 혁신수업질문지.hwp (2022.05.30)
• 2022년 제13기 장학생 지원 신청서(교육비).hwp (2022.05.30)
• 국방부학술회의진행순서.hwp (2022.06.02)
• 2022-0626 하성란 – 누가 울어.hwp (2022.06.07)
다음은 6월 …
악성 한글 문서의 동작 방식은 한글 문서 안에 삽입된 OLE 개체(배치파일)가 실행되고, 이후 파워쉘을 통해 쉘코드를 정상 프로세스에 인젝션하여 동작한다. 이때 공격자는 OLE 개체(배치파일)가 실행될 수 있도록 사용자의 본문 클릭을 유도하는 문구를 주로 삽입한다.
아래의 한글 문서 목록은 이러한 동작 방식으로 유포된 악성 한글 문서의 파일명이다. 공격은 국방, 대북, 방송 관계자 대상으로 수행되었으며 유포는 PC 메신저와 웹 브라우저을 통해 다운로드되는 정황이 확인되었다.
• 검토용_정치의 이해 6교(수정반영본)_20220507.hwp (2022.05.10)
• 동평연 입회신청서(2022).hwp (2022.05.11)
• 혁신수업질문지.hwp (2022.05.18)
• 북한 코로나 사태 분석.hwp (2022.05.20)
• 동평연 입회신청서(김XX).hwp (2022.05.20)
• 김XX이력서.hwp (2022.05.20)
• 2022년도 공고문 주요 부분 발췌.hwp (2022.05.23)
• (연구자문위원회)_국회미래연구원_연구과제_수요조사.hwp (2022.05.25)
• 8교_완료_정치의 이해_편집자.hwp (2022.05.26)
• 220530- 혁신수업질문지.hwp (2022.05.30)
• 2022년 제13기 장학생 지원 신청서(교육비).hwp (2022.05.30)
• 국방부학술회의진행순서.hwp (2022.06.02)
• 2022-0626 하성란 – 누가 울어.hwp (2022.06.07)
다음은 6월 …
IoC
1d413a7c62b48760838bed0d03a35b05
390a2439581b8c04adace93fed2e4425
393f78e609af5e77da5ea9ba10facbfb
404e2fe1fbca70603cb91932664bc112
546ae7bd8b88289a21ac8d7dc62a3bd7
667dbfdc01cc6e808b2485c7eed74e97
7442a74c7351b8ab0bb49b778530a95e
7dea7277f672ad85fdf344c467f739eb
87c1f6ab7933bce7969f593e3c6096c2
882546e8fc2dc2fd580170afda20e396
9aac95c3d76319fe3df9fed53fb06507
b5b0ffecc4b30e7f140b517333c6a2d2
e223711e31431250946203c27372cd3a
390a2439581b8c04adace93fed2e4425
393f78e609af5e77da5ea9ba10facbfb
404e2fe1fbca70603cb91932664bc112
546ae7bd8b88289a21ac8d7dc62a3bd7
667dbfdc01cc6e808b2485c7eed74e97
7442a74c7351b8ab0bb49b778530a95e
7dea7277f672ad85fdf344c467f739eb
87c1f6ab7933bce7969f593e3c6096c2
882546e8fc2dc2fd580170afda20e396
9aac95c3d76319fe3df9fed53fb06507
b5b0ffecc4b30e7f140b517333c6a2d2
e223711e31431250946203c27372cd3a