ALL MENU

Technology
S2W's Technology
AI
Big Data
Security
Products
SAIP
QUAXAR
XARVIS
EYEZ
Services
AI Data Consulting
Penetration Testing
Incident Response
Request for Intelligence
Resources
Event
Webinar
SIS
Conference
About S2W
About S2W
History
News

QUICK LINKS

Resources
  • 연구
  • 위협 정보 단편 보고서
국내 사회적 이슈를 악용하여 위장한 악성문서 분석 보고서
2024.12.20

✅ 보고서 제목:


국내 사회적 이슈를 악용하여 위장한 악성문서 분석 보고서 (2024-12-11)



✅ 보고서 요약:


2024년 12월 11일, 최근 국내 사회적 이슈 관련 문서로 위장한 악성코드 유포 정황이 발견되어 초동 분석을 진행하였습니다.


악성코드 동작 방식 및 주요 기능은 다음과 같습니다:


- 한글문서(HWP) 파일로 위장하여 유포되고 있는 해당 악성코드는 실행 시 실제 국내 사회적 이슈 관련 문서를 출력하는 것 처럼 보이지만, 추가적인 페이로드를 다운로드 받아서 악성코드를 실행하는 방식으로 확인되었습니다.
  - 공격자가 사전에 설정한 GitHub 저장소에서 위장(Decoy) 문서 및 추가 악성코드를 다운로드 받아 실행했습니다.
  - 추가로 다운로드된 악성코드는 감염 PC의 정보를 탈취하여 유출하고, 공격자 GitHub로부터 추가 파일을 다운로드 하는 정보탈취형 악성코드(Stealer)로 확인되었습니다.


대응 방안은 다음과 같습니다:


- 공격자는 최소 2023년 7월부터 GitHub에서 활동하고 있으며, 과거 이력서 테마의 파일을 통해 QuasarRAT 악성코드를 유포한 이력이 존재합니다.


📌 한글문서(HWP) 파일로 위장한 악성코드 예시는 어떻게 되나요?


- MD5: 35b4f28dd2d50dbf48e5c63c3ef5efb7
- SHA256: 64a77edc15aad8bfc6829363926dd7f3020751c821a04015b43bf06aae27a956

- 국내 사회적 이슈 관련 문서로 위장한 파일은 하드코딩된 GitHub 주소에서 추가 파일을 다운로드 및 실행하는 Downloader 유형의 악성코드로 확인되었습니다.
- 바이너리 내부에는 하드코딩된 GitHub 주소가 존재하며, 해당 주소로부터 인코딩된 Decoy 문서를 다운로드하고 XOR 연산을 통해 디코딩하였습니다.


  - Download URL: hxxps[:]//github[.]com/adrhpbrn29/iqWThPAGUQ/raw/main/data1
  - 저장 위치: %LocalAppData%/Temp/[한글] XXX-XX본부 운영 참고자료[원본].hwp
    - MD5: 5a8d7925887255eb742f4f32e91aeb50
    - SHA256: 734c916aa14ea88530b31defeef687c7e5be78cbd3e291571944ca0ff4ddec33

- 이후 사용자로 하여금 악성코드 감염 사실을 숨기기 위해 ShellExecute API를 통해 Decoy 문서를 실행하였습니다. 공격자는 하드코딩된 또 다른 GitHub 주소를 통해 악성코드가 포함된 파일을 다운로드하였습니다. 다운로드된 파일은 %Temp% 경로에 기록되었다가, %LocalAppData%/GoogleUpdater 하위에 압축 해제되며 CreateProcessA API를 통해 updater.exe가 실행되었습니다.


  - Download URL: hxxps[:]//github[.]com/adrhpbrn29/iqWThPAGUQ/raw/main/GoogleUpdater.zip
  - 다운로드 위치: %Temp%/pbnscf
  - 압축 해제 후: %LocalAppData%/GoogleUpdater/
    - updater.exe (정상)
      - MD5: 823816b4a601c69c89435ee17ef7b9e0
      - SHA256: c2a7c0fa80f228c2ce599e4427280997ea9e1a3f85ed32e5d5e4219dfb05ddb2
    - version.dll (Stealer)
      - MD5: 66e8096b9b061550314a82654ce0fabd
      - SHA256: c43507b6f2c2cb033d3f55229b20adfde9cda4dfb93dc3db45556847638ec7f8

- %LocalAppData%/GoogleUpdater 경로 하위에 드랍된 2개의 파일 중, updater.exe 파일은 정상으로 식별되었습니다. version.dll은 감염 PC의 정보를 탈취하고 추가 파일을 다운로드받는 Stealer 유형의 악성코드로, DLL Side-Loading을 통해 실행되는 것으로 확인되었습니다.


✅ 위협 탐지 권장 사항 및 조치 방안:


- 2024년 12월 11일, 최근 국내 사회적 이슈 관련 문서로 위장한 악성코드 유포 정황이 발견되어 초동 분석을 진행하였습니다.
- 한글문서(HWP) 파일로 위장하여 유포되고 있는 해당 악성코드는 실행 시 실제 국내 사회적 이슈 관련 문서를 출력하는 것 처럼 보이지만, 추가적인 페이로드를 다운로드 받아서 악성코드를 실행하는 방식으로 확인되었습니다.
- 추가로 다운로드된 악성코드 실행 시 감염 PC의 정보를 탈취하여 유출하고, 공격자 GitHub로부터 추가 파일을 다운로드 하는 정보탈취형 악성코드(Stealer)로 확인되었습니다.
- 공격자는 최소 2023년 7월부터 GitHub에서 활동하고 있으며, 과거 이력서 테마의 파일을 통해 QuasarRAT 악성코드를 유포한 이력이 존재합니다.
  - 해당 GitHub로부터 국내 사용자를 타겟으로 한 악성코드가 지속적으로 유포되고 있어 각별히 주의해야 하며, 특히 이중 확장자를 가진 파일은 실행하지 않도록 유의해야 합니다.


🧑‍💻 보고서 작성자: S2W TALON



👉 보고서 전문 문의하기: https://s2w.inc/ko/contact



*해당 보고서는 별도 문의 가능하며 S2W의 QUAXAR 플랫폼 구독 시 전문으로 제공됩니다.


뉴스 하이라이트
12월 2주차 DDW 위클리 하이라이트
2024.12.19
이전 글
뉴스 하이라이트
12월 3주차 DDW 위클리 하이라이트
2024.12.26
다음 글
목록