한글 파일 내부에 OLE 개체를 삽입할 수 있는 취약점을 이용한 공격이 발견되었다. (CVE-2018-15982)
이러한 방식이 처음 발생한 것은 아니지만, 프로필 양식으로 위장한 악성 한글 문서라서 주목받고 있다.
2020년 공개된 플래시 취약점(CVE-2018-15982)을 이용했다.
안랩 ASEC 분석팀 曰
확인된 한글 파일의 내부에는 OLE 개체가 삽입되어 있으며, 공격자는 개체를 삽입한 위치 앞에 하얀 이미지를 위치시켜서 삽입된 OLE 개체가 보이지 않도록 했다.
문서에 삽입된 OLE 개체 중 hword.exe와 hwp.exe는 모두 Windows10 에서 동작 가능한 정상 파일이다.
해당 파일들은 문서 실행 시 %TEMP% 폴더에 생성.
(원래는 생성되는 파일이 powershell.exe, mshta.exe 파일을 바로 이용했는데.. 이번엔 아닌 듯)
%TEMP% 경로에 복사됨으로써 행위 탐지 기능을 우회하는 것,
사용자가 문서를 실행한 후, 양식을 작성하기 위해 해당 칸 클릭 시 하이퍼링크로 연결되어 APPDATA\local\temp\hwp.lnk가 실행된다.
해당 링크 파일은 명령어를 담고 있어.. 최종적으로 mshta.exe를 이용하여 악성 URL에 접속한다.
공격자에 의도에 따라 다양한 악성 명령어 실행이 가능하다.
특정 URL로 접근하는 명령어도 존재했다.
- 접근 시 악성 스크립트 코드가 존재
- 추가적인 PE 데이터 다운로드 및 실행하도록 하마.
- 내부에 flash 개체를 삽입하도록 한글 문서를 변경
과거에 사용되었던 취약점을 악용한 사례는 최근에도 확인되기 때문에 사용자의 주의가 필요.
사용자는 출처를 알 수 없는 문서의 실행을 지양하고, 응용프로그램 및 백신을 최신 버전으로 업데이트하여 사용할 것.
해당 기사 링크 >> https://www.boannews.com/media/view.asp?idx=109538&page=1&kind=1
프로필 양식으로 위장해 OLE 개체 삽입한 악성 한글문서 주의!
최근 프로필 양식으로 위장한 악성 한글 문서가 발견돼 이용자들의 주의가 요구된다. 이번에 발견된 프로필 양식으로 위장한 한글 문서는 2020년 공개된 플래시 취약점(CVE-2018-15982)을 이용하고
www.boannews.com
좀 더 자세히(안랩)>> https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=32301
악성 한글 문서, 이번에는 프로필 양식으로 위장
안랩은 최근 OLE 개체 및 플래쉬 취약점을 이용한 또다른 악성 한글 문서를 확인했다. 해당 문서는 약 일주일 전 ..
www.ahnlab.com
'일상X사랑X돈 > 보안이슈' 카테고리의 다른 글
| [보안이슈] Go 언어로 제작된 NEW 랜섬웨어 '비안리안', 공격자들 사이에서 큰 인기 (0) | 2022.09.06 |
|---|---|
| [보안이슈] 한국 주도로 개발한 지능형 차량통신보안 표준기술 3건, 'ITU 국제표준' 사전 채택 (0) | 2022.09.05 |
| [보안이슈] go 언어 기반 랜섬웨어 "Agenda", 피해자 맞춤화 공격 (0) | 2022.09.01 |
| [IT이슈] 무인 상점의 확대, 매장 통합관리 솔루션 등의 보안 제품 수요도 증가하는 추세 (0) | 2022.08.31 |
| [보안이슈] 이스트시큐리티 알약, 정상 프로세스를 랜섬웨어로 '착각' (0) | 2022.08.30 |
