본문 바로가기
악성코드 정보

악성 한글문서(.hwp) 유포 파일명 변화과정 추적

by AhnLab ASEC 분석팀 2020. 5. 27.

그간 ASEC블로그를 통해 알려왔듯 아주 오랜 시간동안 악성 한글 문서를 이용한 공격이 끊임없이 이루어 지고 있다. 공격자는 문서파일 제목을 통해 사용자가 의심없이 실행하도록 유도하고 있으며, 이번 블로그 글에서는 최근 3달 동안 확인된 악성 한글파일 제목의 변화과정을 다뤄보고자 한다. 해당 정보는 '한글 문서를 통해 의심스러운 행위가 발생'했을 시 수집되는 자사 모니터링 시스템을 통해 확인 가능하였다.

 

주제 1 : 코로나 관련 (Lazarus 그룹 추정)

전라남도 코로나바이러스 대응 긴급조회.hwp
인천광역시 코로나바이러스 대응 긴급 조회.hwp
인천광역시 코로나바이러스 대응 긴급 조회-**대 김**.hwp
[붙임] 코로나19_관련_사증면제 정지 등 조치_알림.hwp

지금도 여전히 코로나와 관련한 이슈가 끊이지 않고 있는데 특히 지난 3월말부터 4월 동안 고강도 사회적 거리두기 했던 그 틈을 이용하여 코로나를 주제로한 한글 문서 파일이 유포되었었다. 위의 표와 같이 긴급성을 띄는 것처럼 보여 사용자의 심리를 자극하고 있으며 이러한 제목으로 4월 1일부터 4월 말까지 꾸준히 유포되어 졌다.

 

지난 블로그 : https://asec.ahnlab.com/1310

 

'코로나바이러스 대응 긴급조회' 한글문서 악성코드 유포

ASEC분석팀은 '코로나바이러스 대응 긴급조회'로 위장한 악성 문서파일을 발견하였다. 과거 악성 문서파일들의 경우 Office 의 매크로 기능을 악용하여 사용자에게 콘텐츠 사용을 유도하는 방식을

asec.ahnlab.com

 

주제 2 : 부동산 정보 관련 (Lazarus 그룹 추정)

※(창고허득)경기 이천 율면 월포리.9980평.급18억.토목완.hwp
서대문 구북가좌동(증산역)공동주택부지내용(426평).hwp
(허가득)강서구 화곡동24-71상업지.75억.hwp

해당 문서 제목에서 유추가능 한 것처럼 부동산에 대한 정보들을 담고있는 문서들이다. 부동산 매매와 관련한 내용이 담긴 문서들로 이를 관심으로 가질 수 있는 대상이 타겟이 될 수 있는 점을 의도했을 것으로 보인다. 이러한 파일명은 4월 말부터 지금까지 꾸준히 유포 중에 있다.

 

지난 블로그 : https://asec.ahnlab.com/1323

 

부동산 투자관련 메일로 유포 중인 한글 악성코드 (EPS사용)

지난 4월부터 증가한 악성 한글 파일의 유포가 여전히 지속 되고있다. ASEC에서는 지난 주 부동한 투자관련 내용으로 위장한 한글 문서(.HWP)가 메일을 통해 유포되고 있음을 알리고자 한다. 아래 [

asec.ahnlab.com

 

주제 3 : 조력/풍력/수력 관련

시화조력발전소와 라 랑스발전소를 통하여 본 조력발전 활용 및 운영 최적화에 대한 연구.hwp
2020년 연구 전문원 및 수자원분야 경력사원 선발 모집요강.hwp
풍향풍속계검정기준.hwp
progress report-도서파력-**대학교_20200513_2025.hwp
파력발전용 웰즈터빈과 임펄스터빈의 성능비교.hwp
정**_쉬라우드 조류발전 수평축 터빈의 성능 향상에 대한 연구.hwp
이**_해상풍력터빈 석션버켓기초의 안전성 해석.hwp
대**선 변전실 구조계산서.hwp
중간진도보고-**텍-200515.hwp

위의 제목들을 통해 알 수 있듯 특히 해양에 관련된 제목으로 유포되는 정황이 4월말에서 5월 현재까지 확인되고 있다. 특정 연구 결과에 대한 정보 혹은 인력 채용을 위한 모집요강을 사칭하는 것으로 보인다. 특정 정보에 관심을 가진 사용자의 경우에는 이 문서들을 의심없이 열어볼 가능성이 매우 높아질 것이다.

 

주제 4 : 메일 계정 관련

**6001**@naver.com.hwp
**n15**@nate.com.hwp
**lee@kiost.ac.kr.hwp
cs.***ongb**@gmail.com.hwp
***3c0xsb**@naver.com.hwp
**nta**@piblock.co.hwp
**ildho**@hanmail.net.hwp

메일 계정을 문서의 제목으로 사용한 한글 파일들이 있다. 이는 수신인을 특정하여 유포되었을 가능성이 있을 것으로 추정된다. 수신인에게는 모르는 임의의 파일이 자신에게 전달된 정보가 있을 것으로 판단하여 문서를 열어볼 확률이 높을 것으로 판단된다.

 

그 외

\카카오톡 받은 파일\투자 내역.hwp
\카카오톡 받은 파일\수익구조.hwp
선정평가 문의내용.hwp
scm 관련 문의.hwp
근로계약서.hwp
협력사간 공정거래 협약서.hwp
볍률의견서.hwp
오디션 안내의 건.hwp 
장외주식 판매관련 자료.hwp 
0325 금융자료 입금 소명.hwp
고발장 자료.hwp
인터넷부 메뉴얼 추가.hwp
보상명부.hwp

위의 나열 된 주제들 외에도 많은 제목의 한글 파일들이 유포되고 있는데 이와 같이 한글 파일명과 내용을 그럴듯하게 만들어 사용자가 문서를 열람 할 수 있도록 유도하고 있는 것을 알 수 있다.

 

 

특히 그 외에 명시된 파일들의 경우 같은 해쉬를 가진 파일이나 일관성없이 다양한 문서의 제목으로 유포되고 있음을 확인하였다. 이 문서들은 코니(KONNI) 조직이 제작한 문서들로 작년 자사 블로그에서 언급한 공격 실행 형식을 그대로 사용하고 있다.

 

지난 블로그 : https://asec.ahnlab.com/1277

 

소송 관련 내용의 악성 한글 HWP 파일 유포 - 코니(KONNI) 조직

오늘 ASEC 분석팀에 신규 악성 HWP 한글 파일이 접수되었다. 접수된 문서는 모 민간 병원의 법률 소송 관련 소송대리인 답변 내용으로 되어 있다. 한글 파일은 악성 포스트스크립트(Postscript) 파일��

asec.ahnlab.com

 

 

다양한 형태의 악성 한글 파일들이 지속 유포되고 있는데 특정 문서들은 문서의 내용까지도 그럴듯하게 작성하기 때문에 사용자들이 정상적인 문서내용을 확인하고 있다고 착각할 수 있다. 그리고 공격자들은 앞으로도 다양한 형태의 정보를 이용하여 유포할 가능성이 매우 높기 때문에 사용자들은 공격에 지속적으로 노출될 수 있다. 따라서 사용자들은 메일 뿐아니라 확인되지 않은 불분명한 발신인에게 받은 문서 파일의 열람은 절대 하지 않아야하며 지속적인 주의에 대한 경각심을 갖어야 한다.

 

 

 

댓글1