2017.11.07 한글 자료연결 기능 악용 악성코드 유포

1. 개요

• 한글의 자료연결 기능을 악용하여 이메일을 통한 악성코드 유포

 

2. 내용

• 기사내용

• 북한 추정 사이버공격으로 추측되는 공격이 한글문서의 자료연결 기능을 악용해 악성파일로 만들어 이메일로 유포
• MS오피스 프로그램의 DDE 기능을 악용하여 공격을 시도했던 동일 공격자인 북한 추정의 해커가 워드 문서에 이어 한글 문서인 HWP 파일에 OLE 기능을 악용
• 한글문서에 OLE 기능을 악용해 정보수집용 악성코드9VBScript)를 넣어 이후 '자료연결' 대상에 해당 스크립트의 경로(임시폴더)를 상대 경로 방식으로 지정
  ※ 자료연결 : 한글에서 설명을 추가하고 참고자료를 지정하여 하이퍼리으를 연결하는 정상기능. 연결할 수 있는 자료의 종류에는 한 문서, 웹 주소, 전자우편 주소, 외부 어플리케이션 문서 등이 있음
• 사용자가 한글 문서를 열람하면 삽입된 악성 스크립트는 임시폴더에 생성되며, 자료연결이 설정된 본문을 클릭할 경우 해당 스크립트가 실행되어 동작. 동작한 악성스크립트는 특정 경로에 악성코드를 생성하고 실행