* 출처는 안랩입니다.
최근 특정 사용자를 대상으로 하는 강연 의뢰서를 위장한 악성코드가 확인되었다.
유포 파일로는 한글 문서(HWP) 파일과 MSC 확장자 형식의 파일이 확인되었으며, 추가 악성 파일을 다운로드한다. 정상 문서로 위장하기 위한 디코이 문서 파일에는 개인 정보가 작성되어 있는 경우도 확인되어 특정 사용자를 대상으로 악성코드를 유포하는 것으로 보인다. 최종적으로 실행되는 악성 행위는 확인되지 않았지만, 공격자의 명령이 담긴 스크립트가 사용자 PC에 저장되어 지속적으로 실행되기 때문에 정보 유출, 추가 악성코드 다운로드 등 다양한 악성 행위가 수행될 수 있다.
해당 악성코드에서 사용하는 악성 URL의 형식이 지난 2023년 자사 ASEC 블로그에 게시한 ‘문서 뷰어로 위장한 악성 배치 파일(*.bat) 유포 중(Kimsuky)[1]’에서 분석된 악성 URL과 유사한 것으로 보아 동일 공격 그룹으로 추정된다.
악성코드의 간략한 동작 과정은 다음과 같다.
그림 1. 악성코드 동작 과정
* 전체내용은 아래를 참고하세요.
![게임하기 딱 좋은 라이젠5 7500F 컴퓨터 [2025년 7월 이달의 추천 데스크톱PC]](https://img.danawa.com/images/attachFiles/6/847/5846037_1.jpeg?shrink=320:180)
![27인치 커브드 모니터가 15만원대? [프리미엄 리포터V]](https://img.danawa.com/images/attachFiles/6/846/5845908_1.jpeg?shrink=320:180)
![네이버] LG노트북 라이젠 R5 가성비 대학 노트북 (59만혜택가)](https://img.danawa.com/images/attachFiles/6/846/5845502_1.jpg?fitting=Large|140:105&crop=140:105;*,*)
![[포인트 마켓] darkFlash DLM22 RGB 강화유리 (화이트)](http://img.danawa.com/prod_img/500000/879/457/img/8457879_1.jpg?fitting=Large|140:105&crop=140:105;*,*)
