□ 개요
이력서를 위장한 한글 문서파일이 지속적으로 발견되고 있어 각별한 주의가 필요하다.
□ 내용
금번에 발견된 이력서는 "신OO 전산담당 경력.hwp" 파일명으로 유포되었으며 한글 문서파일을 실행하면 [그림 1]과 같이 정상적인 이력서 화면이 출력되어 감염사실을 숨긴다.
[그림 1] 한글 문서파일 실행시 화면
그러나 한글 문서파일 내부에 PostScript를 삽입하여 악의적인 동작을 수행한다.
[그림 2] 한글 문서파일 내부에 삽입된 PostScript
PostScript에 의해 특정서버로 접속하여 악성코드를 다운로드하고 메모리에서 실행한다.
https://tpddata.com/skins/skin-8.thm
https://tpddata.com/skins/skin-6.thm
메모리에서 실행된 악성코드에 의해 C&C서버로 접속하여 수신받은 명령에 따라 다른 악의적인 페이로드를 다운로드 하거나 명령을 수행한다.
www.anlway.com/include/arc.search.class.php
www.apshenyihl.com/include/arc.speclist.class.php
www.ap8898.com/include/arc.search.class.php
[그림 3] C&C 서버 목록
□ 결론
최근 한글 문서파일 내부에 PostScript 코드를 삽입하여 공격하는 사례가 계속해서 발견되고 있으므로 의심스러운 한글 문서파일은 보안업체에 문의하거나 삭제한다. 또한 PostScript를 이용한 공격이 빈번해짐에 따라 한글과컴퓨터에서는 한글 워드프로세서에서 스크립트가 실행되지 않도록 패치를 한 상태이므로 최신버전으로 업데이트한다.
□ 바이로봇 진단명
HWP.Exploit.Gen.I
