Operation Moneyholic with HWP Document
Contents
Operation Moneyholic With HWP Document
안랩에서는 지난 8월 암호화폐 거래소와 이용자를 대상으로한 공격활동을 분석한 오퍼레이션 머니홀릭(Operation Moneyholic) 보고서를 발행했다. 오퍼레이션 머니홀릭(Operation Moenyholic) 조직은 해외에서 코니(KONNI)로 잘 알려져 있다.
최근 오퍼레이션 머니홀릭(Operation Moenyholic) 조직이 악성코드 유포를 위해 사용한 HWP 파일이 발견되어 이를 알아보고자 한다.
| [HWP Document] |
| 한글과컴퓨터의 프로그램인 한글에서 사용하는 파일 형식으로 한글 문서 또는 HWP(Hangul Word Processor)라 불림 |
| [스피어 피싱(Spear Phishing)] |
| 특정인 또는 특정 조직을 대상으로한 맞춤형 공격
공격 대상의 사전조사 내용을 토대로하여 신뢰할 수 있는 위장 이메일을 발송하여 표적을 공격 |
발견된 HWP 파일은 스피어 피싱 공격 기법을 이용한 일반적인 문서로 위장하고 있다.
문서 내용은 여행 티켓 신청을 위한 개인 정보로 추정되며, HWP 파일 내에는 EPS 파일이 이미지형태로 삽입되어 있다.
| [Encapsulated Post Script, EPS] |
| 포스트 스크립트(Postscript) 언어에서 사용되는 그래픽 파일 포맷 |
| [CVE-2017-8291] |
| 고스트 스크립트 9.21이하 버전에서 실행가능한 원격 명령 실행 보안 취약점 |
EPS파일은 다음과 같이 문서 한글 문서 파일의 여백부분에 삽입되어 있으며 이미지는 정상적으로 출력되지 않는다. 한글 프로그램에서 …
안랩에서는 지난 8월 암호화폐 거래소와 이용자를 대상으로한 공격활동을 분석한 오퍼레이션 머니홀릭(Operation Moneyholic) 보고서를 발행했다. 오퍼레이션 머니홀릭(Operation Moenyholic) 조직은 해외에서 코니(KONNI)로 잘 알려져 있다.
최근 오퍼레이션 머니홀릭(Operation Moenyholic) 조직이 악성코드 유포를 위해 사용한 HWP 파일이 발견되어 이를 알아보고자 한다.
| [HWP Document] |
| 한글과컴퓨터의 프로그램인 한글에서 사용하는 파일 형식으로 한글 문서 또는 HWP(Hangul Word Processor)라 불림 |
| [스피어 피싱(Spear Phishing)] |
| 특정인 또는 특정 조직을 대상으로한 맞춤형 공격
공격 대상의 사전조사 내용을 토대로하여 신뢰할 수 있는 위장 이메일을 발송하여 표적을 공격 |
발견된 HWP 파일은 스피어 피싱 공격 기법을 이용한 일반적인 문서로 위장하고 있다.
문서 내용은 여행 티켓 신청을 위한 개인 정보로 추정되며, HWP 파일 내에는 EPS 파일이 이미지형태로 삽입되어 있다.
| [Encapsulated Post Script, EPS] |
| 포스트 스크립트(Postscript) 언어에서 사용되는 그래픽 파일 포맷 |
| [CVE-2017-8291] |
| 고스트 스크립트 9.21이하 버전에서 실행가능한 원격 명령 실행 보안 취약점 |
EPS파일은 다음과 같이 문서 한글 문서 파일의 여백부분에 삽입되어 있으며 이미지는 정상적으로 출력되지 않는다. 한글 프로그램에서 …
IoC
http://down1-naver.com
http://filedownload2.com
http://filedownload2.com