HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

(주의) 외교부로 위장한 악성 한글 문서 주의!!
등록일 :
2019.03.13

□ 개요

한글 문서를 악용한 악성코드가 지속적으로 발견되고 있어 국내 사용자들의 각별한 주의가 필요하다.

 

□ 내용

이번에 발견된 한글 악성코드는 외교부 직원으로 위장해 악성 한글 문서의 링크가 첨부된 이메일을 통해 유포됐다.

 


[그림 1] 악성 한글 문서가 첨부된 이메일


 

악성 한글 문서는 외교부에서 작성한일본 관련 일일동향과 관련된 내용을 가지고 있다.  

 

 

[그림 2] 외교부 위장 한글 문서 

 

 

정상적으로 실행될 경우 한글 문서 내부에 포함되어 있는 스크립트에 의해 추가 스크립트를 다운받는다. 

 

[그림 3] 문서 내부에 포함된 스크립트 일부 

 

[그림 4] 추가 다운로드 된 스크립트 일부

 

추가 다운로드 받은 스크립트를 통해 C&C 통신, 악성코드 다운로드 및 실행, 사용자 정보 탈취 등 악성행위를 수행한다.

 

C&C 주소

-       hxxp://d*****.kr/bbs/data/1

-       hxxp://d*****.kr/bbs/data/Romanic.fm

-       hxxp://d*****.kr/bbs/data/register.php?WORD=com_[MAC_ADDR]&NOTE=[컴퓨터정보 + Base64]

-       hxxp://d*****.kr/bbs/data//ariaK_[MAC_ADDR]

-       hxxp://www[.]m*******.co[.]kr/1990/query.php

-       hxxp://m*****- a********.com/security/downloads/downloads.php?filleName=20190312 일본 관련 일일 동향().hwp

 

 

국가기관인 외교부로 위장하여 메일 발신인으로 부터 신뢰성을 높여 수신인이 아무 의심없이 한글 문서를 열람하도록 유도하였다. 불특정 다수에게 발송된 것이 아니라, 외교와 관련된 중요 업무를 하는 수신인을 표적으로 하여 제작되었을 것으로 판단되며, 감염되었을 경우 사용자의 정보탈취나 추가 악성행위가 가능함으로 중요한 기밀이나 정보 탈취의 위험성이 높다고 판단되어 주의가 요구된다.

 

 

바이로봇 업데이트 내역

BIN.S.Agent

HWP.S.Agent

JS.S.Agent

WSF.S.Agent

Trojan.Win32.S.Agent


 

 

 

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top