* 출처는 안랩입니다.
공격에 악용된 한글 문서는 외부 URL에 접속하는 유형과 추가 악성 스크립트 파일을 생성하는 유형이 확인됐다. 추가 스크립트 파일을 생성하는 한글 문서의 경우, 작년 11월 뉴스 설문지로 위장한 악성 워드 문서 사례와 동작 방식이 유사하고, 똑같은 FTP(File Transfer Protocol) 서버 패스워드를 사용하는 것으로 보아 제작자가 동일한 것으로 추정된다.
각 유형의 동작 과정을 도식으로 표현하면 [그림 1]과 같다.
[그림 1] 악성 OLE 개체가 포함된 악성코드 동작 과정
<유형 1>
이 유형은 한글 문서에 삽입된 OLE 개체를 통해 외부 URL에 접속하는 유형이다. 해당 유형으로 추정되는 한글 문서의 파일명은 다음과 같다.
|
날짜 |
파일명 |
|
2023.05.25 |
통일** 큐시트5월29일 월.hwp |
|
2023.05.25 |
20230508_교수회의자료_양식변경.hwp |
|
2023.05.25 |
(***)2023-05-30 교수회의 자료.hwp |
|
2023.05.30 |
지불확인서(*** 소장).hwp |
|
2023.05.30 |
(양식)축의, 조의_지불확인서.hwp |
|
2023.06.22 |
20230512_명박시나리오_세부.hwp |
|
2023.06.22 |
1-1.전담조직 내 연구지원 별도기능 설치(**대학원대학교 산학협력단).hwp |
|
2023.06.22 |
후** *** 전 총리 명예박사 수여식 총장님 참고자료.hwp |
|
2023.06.23 |
[교원연수부-489 (첨부)] [붙임3] 강사카드(서식).hwp |
|
2023.06.29 |
정쟁에 희생되고 있는 국가안보 수호기능.hwp |
|
2023.07.11 |
통일**2023년4월30일(일).hwp |
|
2023.07.17 |
특집 북한의 축산업과 삶의 질 조**.hwp |
|
2023.07.20 |
42- 바그너의 교훈 (2023. 8).hwp |
|
2023.07.24 |
[서식1] 사업비 교부신청서.hwp |
|
2023.08.14 |
논문심사서 (권**).hwp |
|
2023.09.01 |
인센티브 증빙서류 **.hwp |
|
2023.09.04 |
통일**9월6일최종수요일.hwp |
|
2023.09.06 |
김**_사례비 지급명세서.hwp |
|
2023.09.19 |
[양식_붙임5]_추천자_확인서_양식-전**.hwp |
[표 1] 확인된 한글 문서 파일명
[표 1]에서 확인된 한글 문서에는 OLE 개체가 실행될 수 있도록 문서 본문에 클릭을 유도하는 문구가 삽입돼 있다.
[그림 2] 문서 본문
공격자는 문서 내부에 [그림 3]과 같이 페이지 범위보다 큰 OLE 개체를 삽입했다. 따라서 사용자가 어느 곳을 선택해도 OLE 개체가 실행된다.
[그림 3] 문서 본문에 삽입된 OLE 개체
* 전체내용은 아래에서 확인하세요
![[긴급공지] 진짜 아무것도 손델 필요 없는 극강의 직배수 로보락 로봇청소기를 4일간 폭풍할인 합니다!!](https://img.danawa.com/images/attachFiles/6/809/5808662_1.jpeg?shrink=320:180)
![[다나와]레노버 노트북 슬림3 램16GB NVME512GB (혜택가 61만원대) 입소문 쇼핑](https://img.danawa.com/images/attachFiles/6/810/5809129_18.jpg?fitting=Large|140:105&crop=140:105;*,*)
