20대 대통령선거 선상투표 보도자료 가장한 악성 한글문서 유포
Contents
20대 대통령선거 선상투표 보도자료 가장한 악성 한글문서 유포
대선을 앞두고 ASEC 분석팀은 “20대 대통령선거 선상투표 보도자료”를 가장한 악성 한글 문서가 유포중임을 확인하였다. 공격자는 02/28일 악성 한글 문서를 유포하였으며 해당 악성 문서는 확보되지 않았지만, 자사 ASD(AhnLab Smart Defense) 인프라 로그에 따르면 내부 OLE 개체를 통해 배치파일을 구동하여 파워쉘을 실행하는 형태로 추정된다.
- 유포 파일명: 보도자료(220228)_3월_1일___3월_4일_제20대_대통령선거_선상투표_실시(최종).hwp
[그림 1]은 인프라에 확인된 배치 파일 경로와 한글 파일명이다. 동일한 정상 한글 문서 크기가 2.06MB인 반면에 악성 한글문서는 2.42MB로 내부에 추가 BAT 파일 삽입을 통해 문서가 제작된 것으로 보인다.
[그림 1] ASD 인프라 수집 내용
- %TEMP%\mx6.bat (배치파일 생성 경로)
이와 유사한 형태의 공격은 지난 2월 7일에도 확인되었다. 기사에 따르면 공격자는 중앙선거관리위원회(선관위)를 사칭하고 “제20대 대통령선거 선거권자 개표참관인 공개 모집”라는 정상 문서로 위장하여 악성 문서를 유포 하였다.
“북한 해커, 중앙선거관리위원회 사칭해 악성 보도자료 배포” | DailyNK
북한 해킹조직이 중앙선거관리위원회(선관위)를 사칭한 해킹 메일을 유포 중인 것으로 8일 파악됐다. 선관위에서 배포한 보도자료를 활용한 점으로 미뤄 언론사 기자들을 목표로 공격을 수행 중일 가능성이 높아 주의가 요구된다.
당시 유포되었던 악성 …
대선을 앞두고 ASEC 분석팀은 “20대 대통령선거 선상투표 보도자료”를 가장한 악성 한글 문서가 유포중임을 확인하였다. 공격자는 02/28일 악성 한글 문서를 유포하였으며 해당 악성 문서는 확보되지 않았지만, 자사 ASD(AhnLab Smart Defense) 인프라 로그에 따르면 내부 OLE 개체를 통해 배치파일을 구동하여 파워쉘을 실행하는 형태로 추정된다.
- 유포 파일명: 보도자료(220228)_3월_1일___3월_4일_제20대_대통령선거_선상투표_실시(최종).hwp
[그림 1]은 인프라에 확인된 배치 파일 경로와 한글 파일명이다. 동일한 정상 한글 문서 크기가 2.06MB인 반면에 악성 한글문서는 2.42MB로 내부에 추가 BAT 파일 삽입을 통해 문서가 제작된 것으로 보인다.
[그림 1] ASD 인프라 수집 내용
- %TEMP%\mx6.bat (배치파일 생성 경로)
이와 유사한 형태의 공격은 지난 2월 7일에도 확인되었다. 기사에 따르면 공격자는 중앙선거관리위원회(선관위)를 사칭하고 “제20대 대통령선거 선거권자 개표참관인 공개 모집”라는 정상 문서로 위장하여 악성 문서를 유포 하였다.
“북한 해커, 중앙선거관리위원회 사칭해 악성 보도자료 배포” | DailyNK
북한 해킹조직이 중앙선거관리위원회(선관위)를 사칭한 해킹 메일을 유포 중인 것으로 8일 파악됐다. 선관위에서 배포한 보도자료를 활용한 점으로 미뤄 언론사 기자들을 목표로 공격을 수행 중일 가능성이 높아 주의가 요구된다.
당시 유포되었던 악성 …
IoC
https://www.nec.go.kr/