[보안이슈] 프로필 양식으로 위장한 악성 한글 문서 (OLE 개체 삽입)

한글 파일 내부에 OLE 개체를 삽입할 수 있는 취약점을 이용한 공격이 발견되었다. (CVE-2018-15982)

이러한 방식이 처음 발생한 것은 아니지만, 프로필 양식으로 위장한 악성 한글 문서라서 주목받고 있다.

2020년 공개된 플래시 취약점(CVE-2018-15982)을 이용했다.

 

안랩 ASEC 분석팀 曰

확인된 한글 파일의 내부에는 OLE 개체가 삽입되어 있으며, 공격자는 개체를 삽입한 위치 앞에 하얀 이미지를 위치시켜서 삽입된 OLE 개체가 보이지 않도록 했다.

문서에 삽입된 OLE 개체 중 hword.exe와 hwp.exe는 모두 Windows10 에서 동작 가능한 정상 파일이다.

 

해당 파일들은 문서 실행 시 %TEMP% 폴더에 생성.

(원래는 생성되는 파일이 powershell.exe, mshta.exe 파일을 바로 이용했는데.. 이번엔 아닌 듯)

%TEMP% 경로에 복사됨으로써 행위 탐지 기능을 우회하는 것,

 

사용자가 문서를 실행한 후, 양식을 작성하기 위해 해당 칸 클릭 시 하이퍼링크로 연결되어 APPDATA\local\temp\hwp.lnk가 실행된다.

해당 링크 파일은 명령어를 담고 있어.. 최종적으로 mshta.exe를 이용하여 악성 URL에 접속한다.

 

출처: 안랩(하단 링크 존재)

공격자에 의도에 따라 다양한 악성 명령어 실행이 가능하다.

특정 URL로 접근하는 명령어도 존재했다.

- 접근 시 악성 스크립트 코드가 존재

- 추가적인 PE 데이터 다운로드 및 실행하도록 하마.

- 내부에 flash 개체를 삽입하도록 한글 문서를 변경

 

과거에 사용되었던 취약점을 악용한 사례는 최근에도 확인되기 때문에 사용자의 주의가 필요.

사용자는 출처를 알 수 없는 문서의 실행을 지양하고, 응용프로그램 및 백신을 최신 버전으로 업데이트하여 사용할 것.

 

 

해당 기사 링크 >> https://www.boannews.com/media/view.asp?idx=109538&page=1&kind=1 

프로필 양식으로 위장해 OLE 개체 삽입한 악성 한글문서 주의!

좀 더 자세히(안랩)>> https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=32301 

악성 한글 문서, 이번에는 프로필 양식으로 위장