“「2021 평화∙통일 이야기 공모전」 참가 신청서” 제목의 한글문서 유포 (APT 추정)
Contents
“「2021 평화∙통일 이야기 공모전」 참가 신청서” 제목의 한글문서 유포 (APT 추정)
ASEC분석팀은 특정 지자체의 문서를 위조한 한글 악성코드가 유포 중인 것을 확인했다. 해당 문서는 아래 [그림 1]과 같이 평화∙통일을 주제로 하고 있다. 문서 실행 시 내부 악성 OLE 개체에 의해 악성코드가 특정 경로에 생성되며 사용자가 문서를 클릭할 경우 실행된다.
[그림1] 악성 문서 내용
해당 악성 문서에 대한 정보는 다음 [그림2]와 같다.
[그림2] 문서 정보
악성 문서는 다음 [그림 3]과 같이 악성 OLE 개체를 포함하고 있으며, 문서가 실행되면 OLE 개체 내부의 PE 파일(.exe) 악성코드가 특정 경로에 생성된다.
[그림3] 문서 내부 악성 개체
악성코드를 생성되는 경로는 다음과 같다.
| C:\Users[사용자명]\AppData\Local\Temp\HncApp.exe |
생성된 파일을 실행시키기 위해 제작자는 문서 전체에 투명한 개체를 만들어 두고 하이퍼링크를 연결해 두었다. 따라서 사용자가 문서의 어디든 클릭한다면 생성된 악성코드가 실행된다.
[그림4] 생성된 파일을 실행하는 하이퍼링크
여기서, 하이퍼링크는 다음과 같이 상대 주소로 작성되어 있는데, 생성된 악성코드가 실행되기 위해서는 본 한글 파일이 다음 경로에 위치해야 한다.
| C:\Users[사용자명]\AppData\Local\~\~\~\~\Sample.hwp |
이로 보아 해당 악성 문서 파일이 특정 프로그램이나 압축 툴 사용자를 타겟으로 했을 가능성이 있다. …
ASEC분석팀은 특정 지자체의 문서를 위조한 한글 악성코드가 유포 중인 것을 확인했다. 해당 문서는 아래 [그림 1]과 같이 평화∙통일을 주제로 하고 있다. 문서 실행 시 내부 악성 OLE 개체에 의해 악성코드가 특정 경로에 생성되며 사용자가 문서를 클릭할 경우 실행된다.
[그림1] 악성 문서 내용
해당 악성 문서에 대한 정보는 다음 [그림2]와 같다.
[그림2] 문서 정보
악성 문서는 다음 [그림 3]과 같이 악성 OLE 개체를 포함하고 있으며, 문서가 실행되면 OLE 개체 내부의 PE 파일(.exe) 악성코드가 특정 경로에 생성된다.
[그림3] 문서 내부 악성 개체
악성코드를 생성되는 경로는 다음과 같다.
| C:\Users[사용자명]\AppData\Local\Temp\HncApp.exe |
생성된 파일을 실행시키기 위해 제작자는 문서 전체에 투명한 개체를 만들어 두고 하이퍼링크를 연결해 두었다. 따라서 사용자가 문서의 어디든 클릭한다면 생성된 악성코드가 실행된다.
[그림4] 생성된 파일을 실행하는 하이퍼링크
여기서, 하이퍼링크는 다음과 같이 상대 주소로 작성되어 있는데, 생성된 악성코드가 실행되기 위해서는 본 한글 파일이 다음 경로에 위치해야 한다.
| C:\Users[사용자명]\AppData\Local\~\~\~\~\Sample.hwp |
이로 보아 해당 악성 문서 파일이 특정 프로그램이나 압축 툴 사용자를 타겟으로 했을 가능성이 있다. …
IoC
http://price365.co.kr/abbi/json/ps/aa.php