□ 개요
한글 문서를 악용한 악성코드가 지속적으로 발견되고 있어 국내 사용자들의 각별한 주의가 필요하다.
□ 내용
이번에 발견된 한글 악성코드는 외교부 직원으로 위장해 악성 한글 문서의 링크가 첨부된 이메일을 통해 유포됐다.
[그림 1] 악성 한글 문서가 첨부된 이메일
악성 한글 문서는 외교부에서 작성한 “일본 관련 일일동향”과 관련된 내용을 가지고 있다.
[그림 2] 외교부 위장 한글 문서
정상적으로 실행될 경우 한글 문서 내부에 포함되어 있는 스크립트에 의해 추가 스크립트를 다운받는다.
[그림 3] 문서 내부에 포함된 스크립트 일부
[그림 4] 추가 다운로드 된 스크립트 일부
추가 다운로드 받은 스크립트를 통해 C&C 통신, 악성코드 다운로드 및 실행, 사용자 정보 탈취 등 악성행위를 수행한다.
C&C 주소
- hxxp://d*****.kr/bbs/data/1
- hxxp://d*****.kr/bbs/data/Romanic.fm
- hxxp://d*****.kr/bbs/data/register.php?WORD=com_[MAC_ADDR]&NOTE=[컴퓨터정보 + Base64]
- hxxp://d*****.kr/bbs/data//ariaK_[MAC_ADDR]
- hxxp://www[.]m*******.co[.]kr/1990/query.php
- hxxp://m*****- a********.com/security/downloads/downloads.php?filleName=20190312 일본 관련 일일 동향(완).hwp
국가기관인 외교부로 위장하여 메일 발신인으로 부터 신뢰성을 높여 수신인이 아무 의심없이 한글 문서를 열람하도록 유도하였다. 불특정 다수에게 발송된 것이 아니라, 외교와 관련된 중요 업무를 하는 수신인을 표적으로 하여 제작되었을 것으로 판단되며, 감염되었을 경우 사용자의 정보탈취나 추가 악성행위가 가능함으로 중요한 기밀이나 정보 탈취의 위험성이 높다고 판단되어 주의가 요구된다.
□ 바이로봇 업데이트 내역
BIN.S.Agent
HWP.S.Agent
JS.S.Agent
WSF.S.Agent
Trojan.Win32.S.Agent
