양곡판매소 운영 현황 위장 파일 주의!

한글문서(HWP)를 이용해 RokRAT 악성코드가 유포되고 있어 이용자의 주의가 요구된다.

한글문서를 이용한 악성코드 유포 파일명은 '곡물 저장.hwp 250615_Operation 상태', '최근 주요 포털 사이트.hwpx', '[주의사항] Q1 VAT 환급 신고 마감일(최종)' 이다.

공격자는 사용자의 의심을 피하기 위해, 파일명 ‘250615_양곡판매소 운영 현황’ 파일명에 맞춰 북한 양곡판매소 관련 내용을 담았다.

문서 하단엔 ‘[부록] 참고자료.docx’라는 하이퍼링크가 삽입돼 있다. 사용자가 해당 링크를 클릭할 경우 실행 여부를 묻는 경고 창이 노출된다. 사용자가 ‘실행(Run)’을 선택하면 악성코드에 감염된다.

실행 파일은 문서 내부에 OLE 객체 형태로 삽입돼 있다. OLE 객체가 위치한 문서 페이지에 접근하면 한글 프로세스에 의해 자동으로 특정 경로에 생성된다. 이처럼 공격자는 정상 프로그램 동작 원리를 활용해 육안으론 '실행 여부를 묻는 경고창'일 보이도록 하고, 뒤에선 악성파일이 실행되도록 했다.

이 뿐만이 아니다. 정상 프로그램 실행 원리에 따라 함께 파일이 실행되는 점을 악용해 악성파일을 함께 실행시키도록 악용했다. 이를테면 ShellRunas.exe는 Microsoft 인증서로 서명된 정상 프로그램이다. 그런데 이를 실행하면, 동일한 경로에 위치한 악성 DLL이 실행된다.

안랩은 최종 실행되는 RokRAT 악성코드는 사용자 정보를 수집, 공격자 명령에 따라 다양한 악성 행위를 수행할 수 있다며 주의를 당부했다. 따라서 이용자는 첨부 파일 수신 시 항상 악성 파일에 감염될 수 있다는 인식을 갖고 백신 등 보안 솔루션은 최신버전으로 유지, 파일 실행에 주의를 기울여야 한다.

Related Materials

북한 김수키 해커조직, 논문파일 위장한 악성코드 유포

최근 북한 해커조직 김수키(Kimsuky)의 피싱 메일 공격이 포착됐다. 해커조직은 교수 대상으로 논문 심사 요청을 가장했다. 해커조직은 메일에 악성 OLE 개체가 삽입된 한글 문서 파일을 첨부해 파일 실행을 유도했다. 문서를 열면 임시 폴더(%TEMP%) 경로에 6개 파일이 자동으로 생성된다. 문서 본문에 포함된 “더보기…” 문장에는 악성 파일(“peice.bat”)을

The Tech EdgeCheifEditor

북한 김수키 해킹조직, SNS 악용해 APT 공격

북한 사이버 공격 조직 김수키의 APT(지능형지속위협) 공격이 포착됐다. 이들은 지난 3월~4월까지 한국내 페이스북, 이메일, 텔레그램 이용자를 노리고, 두 개의 페이스북 계정을 통해 정찰과 공격대상을 탐색한 것으로 드러났다. 페이스북으로 접근했던 공격 사례 경우, ‘Transitional Justice Mission’ 계정을 통해 대북 분야 종사자에 온라인 친구 신청을 하고, 메신저로 대화를 신청했다. 공격자는

The Tech EdgeCheifEditor

북한 베꼈나...이란에서 부활한 페이투키 랜섬웨어 그룹

💡Editor’s Pick - 이란의 악명 높은 랜섬웨어 그룹, 다시 활동 시작 - 이란 정부와 연계된 듯...랜섬웨어 수익을 이란 옹호 세력과 나누기도 - 이전보다 업그레이드 된 모습...이-이 정전 협정 악용하려는 듯 돈과 정치적 신념 모두를 좇는 독특한 랜섬웨어 그룹이 부활했다. 페이투키(Pay2Key)라는 이름을 가진 이란 랜섬웨어 조직이다. 보안

The Tech EdgeJustAnotherEditor