1q

[개요] 언론[3]에 따르면 한국수력원자력에서 상반기 채용공고인 "연구ㆍ전문원 및 경력사원 선발[2]"을 미끼로 사용하여 공격자들은 금일 악성 한글파일을 유포한 정황이 포착됐습니다. (Figure 1) 4월 27일 오후 6시경 확인했을 때는 ViRobot을 제외하고는 탐지를 못하는 것을 확인했습니다. 본 게시물에서 다루는 샘플은 이전 게시물[1]과 GhostScript 취약점(CVE-2017-8291) 및 쉘코드 또한 유사했습니다. C2 서버에서 파일을 받지 못하여 추가적인 분석은 하지 못했지만 유포 전 과정까지 분석한 결과를 본 게시물에서 소개해드리겠습니다. 공격자는 실제 한국수력원자력 상반기 2020 채용공고 문서(Figure 2)와 유사하게 작성(Figure 3)을 했으며, 일부 내용은 조금 다른 ..

SNS를 통해 수집된 위협정보를 공유드립니다. 다음 주 국회의원 선거가 다가오자 공격자들이 Word를 활용한 미끼 문서를 유포하고 있습니다. 현재는 공개된 C2들이 모두 단절되었거나 파일이 비어있지만 주의가 필요합니다. 이 파일과 더불어 "외교문서 관련(***국장).docx" 이라는 파일이 유포되고 있으며, C2 경로만 약간 다른 것으로 확인됐습니다. C2가 단절되어 추가 파일은 확인하지 못해서 아쉽지만, SNS에 미리 샘플을 확보하고 분석한 분들이 공개[1][2]한 IOC 정보를 하단에 공유해드리겠습니다. 실행 시 C2가 현재 단절되어 (Figure 2)와 같이 보이지만, 단절되지 않았을 경우 문서가 제대로 보일 것으로 추정됩니다. 또한, 두 파일의 이미지를 Hash 비교를 해보니 같은 것으로 확인되었..