2022-03-04 Fri

1. 건강검진 증명서 발급으로 위장한 북한 연계 공격 발견

Reference: https://www.boannews.com/media/view.asp?idx=105228&page=1&mkind=1&kind=

최근 국내 병원/의료원에서 발급한 것처럼 꾸민 “건강검진 증명서”를 악용한 북한의 해킹 공격이 발견되었다. 실제 국내 병원 및 의료기관 증명서 발급에 필요한 정상 플러그인 프로그램을 함께 결합하여 신뢰를 높인 것으로 보인다.

해당 악성파일은 2월 25일 만들어졌고 실제 공격은 3월에 진행된 것으로 보이며 Windows 64bit 기반으로 개발되었다. 악성파일 내부에는 암호화 된 두개의 리소스가 존재하는데, 하나는 정상적인 병원 증명서 발급 프로그램이며 하나는 백도어 기능을 하는 악성 파일이다.

악성파일 유사도 및 연관성 조사를 통해 지난 2월 국내 방송사 대상 공격과 동북아시아 군사적 긴장 고조 관련하여 일본의 대응전략 연차보고서를 사칭한 공격의 연장선으로 보인다.

이들간에는 북한 표기식 단어인 현시와 공격자 계정 Freehunter, C2 서버인 ms-work[.]com-info[.]store 가 확인되었다.

2. 선관위 보도자료 사칭 악성 한글문서 유포

Reference: https://www.boannews.com/media/view.asp?idx=105206&page=1&mkind=1&kind=1

20대 대통령선거 선상투표 보도자료로 위장한 악성 한글문서가 유포중인 것으로 확인되었다. 해당 악성 문서는 내부 OLE 개체를 통해 배치 파일을 구동하여 파워쉘을 실행하는 형태로 추정된다.

유포된 악성 한글문서 이름은 보도자료(220228)_3월_1일___3월_4일_제20대_대통령선거_선상투표_실시(최종).hwp 로 알려졌다. 동일한 정상 한글 문서는 2.06MB이며 악성 한글 문서는 2.42MB로 내부에 추가 BAT 파일 삽일을 한 것으로 추정된다.