HWP Malware.. Please Give me back my weekend.......
Contents
HWP Malware.. Please Give me back my weekend.......
새로운 HWP 악성코드가 발견되었다. HWP 파일은 "국가안보실 정책자문위원회 전체 회의 계획"이라는 내용을 담고있다.
A new HWP malware has been detected. The HWP file contains "National Security Council Policy Advisory Committee Plenary Meeting".
hwp 파일의 최종 저장자는 cha0520 이며 마지막 저장시간이 2018년 109월 04일 로 되어있는걸로 보아 이미 공격에 사용되었고 이후에 공개된 것으로 추정된다.
The final repository for the hwp file is cha0520, and the last storage time is October 04, 2018. It has already been used in attacks and is supposed to be released later.
hwp 내부에는 EPS 파일이 존재하며 이 파일 내부에는 취약점 실행 코드와 쉘코드가 존재한다.
There is an EPS file inside hwp, and there are vulnerability executable code and shell code in this file.
쉘코드가 실행되면 파일의 특정 영역을 복호화 한다. 복호화는 파일 특정 위치에 존재하는 값과 0x90 을 이용해 복호화 한다.
When the shellcode is executed, it decodes a specific area of the file. The decryption …
새로운 HWP 악성코드가 발견되었다. HWP 파일은 "국가안보실 정책자문위원회 전체 회의 계획"이라는 내용을 담고있다.
A new HWP malware has been detected. The HWP file contains "National Security Council Policy Advisory Committee Plenary Meeting".
hwp 파일의 최종 저장자는 cha0520 이며 마지막 저장시간이 2018년 109월 04일 로 되어있는걸로 보아 이미 공격에 사용되었고 이후에 공개된 것으로 추정된다.
The final repository for the hwp file is cha0520, and the last storage time is October 04, 2018. It has already been used in attacks and is supposed to be released later.
hwp 내부에는 EPS 파일이 존재하며 이 파일 내부에는 취약점 실행 코드와 쉘코드가 존재한다.
There is an EPS file inside hwp, and there are vulnerability executable code and shell code in this file.
쉘코드가 실행되면 파일의 특정 영역을 복호화 한다. 복호화는 파일 특정 위치에 존재하는 값과 0x90 을 이용해 복호화 한다.
When the shellcode is executed, it decodes a specific area of the file. The decryption …
IoC
0a7f9204e62041f86464e44c8ab902c1bb48c23cdfb3f335b4c63d5313773d66
281160972ef8f657139d3801139e6783
d29c6116691f6124e7c5b6b1ed05589c730a2eb7
http://padosori.co.kr/_controller/admin/upload_sec/down.php
281160972ef8f657139d3801139e6783
d29c6116691f6124e7c5b6b1ed05589c730a2eb7
http://padosori.co.kr/_controller/admin/upload_sec/down.php