* 출처는 안랩입니다.
최근 특정 사용자를 대상으로 하는 강연 의뢰서를 위장한 악성코드가 확인되었다.
유포 파일로는 한글 문서(HWP) 파일과 MSC 확장자 형식의 파일이 확인되었으며, 추가 악성 파일을 다운로드한다. 정상 문서로 위장하기 위한 디코이 문서 파일에는 개인 정보가 작성되어 있는 경우도 확인되어 특정 사용자를 대상으로 악성코드를 유포하는 것으로 보인다. 최종적으로 실행되는 악성 행위는 확인되지 않았지만, 공격자의 명령이 담긴 스크립트가 사용자 PC에 저장되어 지속적으로 실행되기 때문에 정보 유출, 추가 악성코드 다운로드 등 다양한 악성 행위가 수행될 수 있다.
해당 악성코드에서 사용하는 악성 URL의 형식이 지난 2023년 자사 ASEC 블로그에 게시한 ‘문서 뷰어로 위장한 악성 배치 파일(*.bat) 유포 중(Kimsuky)[1]’에서 분석된 악성 URL과 유사한 것으로 보아 동일 공격 그룹으로 추정된다.
악성코드의 간략한 동작 과정은 다음과 같다.
그림 1. 악성코드 동작 과정
* 전체내용은 아래를 참고하세요.
