탈륨 조직, 코로나19 관련 소상공인 지원 종합안내로 위장한 HWP 공격
안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 이번 글에서는 최근 발견된 탈륨 조직 배후의 악성 HWP 문서파일 분석 내용을 기술하고, 어떤 위협사례와 유사한지 소개해 보고자 합니다. 해당 악성 문서는 다음과 같은 정보을 가지고 있으며, 마지막 수정날짜 기준으로 보면 2020년 11월 경 제작됐습니다. · 파일 이름 : 신종_코로나바이러스_관련_소상공인_지원_종합안내.hwp · 크기 : 91,648 바이트 · 작성자 : MSS · 마지막 수정자 : DefaultAccounts · 마지막 수정날짜 : 2020-11-25 02:20:12 (UTC) 먼저 HWP 내부 구조를 살펴보면, BinData 위치에 3개의 OLE 오브젝트가 포함된 것을 확인할 수 있고, 2개의 png 이미지 파일이 존재..
악성코드 분석 리포트
2021. 2. 17. 00:40