HWP OLE 개체 악용 악성코드
Contents
HWP OLE 개체 악용 악성코드
2022.06
모든 MS Office 버전에서 실행되는 제로데이 취약점
패치가 발표됐음에도 불구, 지속적으로 피해 사례 발생
MS 지원진단도구
원격코드실행 취약점 (CVE-2022-30190)
목차
1. 개요
2. 파일정보
2.1 취약점 정보
2.2 RCE (Remote Code Execution)
3. 분석
3.1 KTV 최고수다 섭외 요청 건.hwp
3.1.1 HWP 문서 초기화면
3.1.2 기본 유틸리티를 활용한 악성행위 은닉
3.1.3 추가 페이로드 다운로드 및 실행
3.2 북한이탈주민 자문위원 대상 의견수렴_설문지.hwp
3.2.1 HWP 문서 초기화면
3.2.2 기본 유틸리티를 활용한 악성행위 은닉
3.2.3 추가 페이로드 다운로드 및 실행
4. Privacy-i EDR 탐지정보
5. 대응
1
2022.06 HWP OLE 개체 악용 악성코드
1. 개요
1.1 배경
북한은 최근 한글 OLE(Object Linking and Embedding) 개체를 악용한 공격을 지속적으로 수행하고 있다.
한글 프로그램은 한국에서 많이 사용하는 문서 프로그램으로 공기업, 공공기관, 교육기관,
그리고 이와 연계된 기업 등에서 주로 사용되고 있다.
따라서 악성 HWP 문서 파일은 국내 사용자를 대상으로 한 공격에 자주 악용되곤 한다.
특히 외교 및 안보 관련 공직자들이나 대북관련 종사자들이 주된 대상이다.
날짜
파일명
2022년 05월
KTV 최고수다 섭외 요청 건.hwp
OLE 개체
2022년 05월
북한이탈주민 자문위원 대상 의견수렴_설문지.hwp
OLE 개체
2022년 02월
남북관계_주요일지(2022년 2월).hwp
OLE 개체
2021년 12월
ONN-Construction activities near Chamjin-ri and Kangson-Dec 2021.hwp
OLE 개체
2021년 10월
코로나19 긴급재난지원금 개인정보동의서.hwp
2021년 …
2022.06
모든 MS Office 버전에서 실행되는 제로데이 취약점
패치가 발표됐음에도 불구, 지속적으로 피해 사례 발생
MS 지원진단도구
원격코드실행 취약점 (CVE-2022-30190)
목차
1. 개요
2. 파일정보
2.1 취약점 정보
2.2 RCE (Remote Code Execution)
3. 분석
3.1 KTV 최고수다 섭외 요청 건.hwp
3.1.1 HWP 문서 초기화면
3.1.2 기본 유틸리티를 활용한 악성행위 은닉
3.1.3 추가 페이로드 다운로드 및 실행
3.2 북한이탈주민 자문위원 대상 의견수렴_설문지.hwp
3.2.1 HWP 문서 초기화면
3.2.2 기본 유틸리티를 활용한 악성행위 은닉
3.2.3 추가 페이로드 다운로드 및 실행
4. Privacy-i EDR 탐지정보
5. 대응
1
2022.06 HWP OLE 개체 악용 악성코드
1. 개요
1.1 배경
북한은 최근 한글 OLE(Object Linking and Embedding) 개체를 악용한 공격을 지속적으로 수행하고 있다.
한글 프로그램은 한국에서 많이 사용하는 문서 프로그램으로 공기업, 공공기관, 교육기관,
그리고 이와 연계된 기업 등에서 주로 사용되고 있다.
따라서 악성 HWP 문서 파일은 국내 사용자를 대상으로 한 공격에 자주 악용되곤 한다.
특히 외교 및 안보 관련 공직자들이나 대북관련 종사자들이 주된 대상이다.
날짜
파일명
2022년 05월
KTV 최고수다 섭외 요청 건.hwp
OLE 개체
2022년 05월
북한이탈주민 자문위원 대상 의견수렴_설문지.hwp
OLE 개체
2022년 02월
남북관계_주요일지(2022년 2월).hwp
OLE 개체
2021년 12월
ONN-Construction activities near Chamjin-ri and Kangson-Dec 2021.hwp
OLE 개체
2021년 10월
코로나19 긴급재난지원금 개인정보동의서.hwp
2021년 …
IoC
7975bbbfcb75dabb3271a8f1a79d67a371c96ad29de31a3a5f01f1f0507e24af
a73c3f27b0c6ccb8eddde4c0b9d00893f853bb7a
a73c3f27b0c6ccb8eddde4c0b9d00893f853bb7a5abf50a20a7a687fee8e8ade
http://hanainternational.net/editor/data/font.php
https://helpx.adobe.com/security/products/flash-player/apsb18-42.html
https://work3.b4a.app
https://work3.b4a.app/download.html?id=z2&search=TUh3M0xEZ3NPQzR4TERFd2ZHSnZaSG
a73c3f27b0c6ccb8eddde4c0b9d00893f853bb7a
a73c3f27b0c6ccb8eddde4c0b9d00893f853bb7a5abf50a20a7a687fee8e8ade
http://hanainternational.net/editor/data/font.php
https://helpx.adobe.com/security/products/flash-player/apsb18-42.html
https://work3.b4a.app
https://work3.b4a.app/download.html?id=z2&search=TUh3M0xEZ3NPQzR4TERFd2ZHSnZaSG