기사 한줄요약('22.6 13.) :
안랩에 따르면 한글 문서에 'OLE 개체 연결삽입' 기능을 악용해 해당 기능이 실행되면 파워쉘로 쉘 코드를 삽입하여 악성 기능을 수행하게 하는 APT 한글문서가 국방, 대북, 방송 관계자들 대상으로 메신저, 웹 브라우저를 통해 유포되고 있다.
- 지난 3월 3일 알려진 ‘20대 대통령선거 선상투표 보도자료 가장한 악성 한글문서 유포’ 사례와 같은 해킹 단체로 추정(변수명, 구동방식 동일)
- 파워쉘 코드를 통해 한글 하단의 쉘 코드를 읽어서 정상 윈도우 help.exe 프로세스에 인젝션 시도
- 과거 한글 악성코드와 비교
1. 과거 : 포스트 스크립트(Post Script) 취약점 활용해 유포. 사용자의 클릭 없이도 악성코드 실행.
> 2017년 2월 한글이 포스트 스크립트 취약점 조치 및 EPS 파일 삽입 및 보기 기능 제거로 공격 방식 변화
2. 현재 : 정상기능(OLE 개체 삽입 등) 사용해 유포. 사용자가 클릭해야 악성코드 실행.
원병철 기자, 한글문서 ‘OLE 개체 연결 삽입’ 기능 악용한 APT 문서 유포, 보안뉴스, https://m.boannews.com/html/detail.html?idx=107435
한글문서 ‘OLE 개체 연결 삽입’ 기능 악용한 APT 문서 유포
최근 MS 오피스의 제로데이 취약점인 ‘폴리나(Follina)’를 악용한 공격이 기승을 부리고 있는 가운데, 한글 문서의 정상기능을 악용한 APT 공격이 유포되고 있어 사용자들의 주의가 요구된다.
m.boannews.com
