메뉴 건너뛰기

× ◈ 공지 ◈ 후원내용 하나 추가 합니다   [후원 공지]참여 바랍니다

오에스매니아

99781A335A25F12F2FA786



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


지난 달에도 비슷한 유형을 주의차원에서 안내해 드렸던 적이 있었습니다만,  12월 03일부터 동일한 공격자로 추정되는 인물이 불특정 다수를 대상으로 새로운 악성파일을 토렌트로 유포시키고 있어 각별한 주의가 필요합니다.


공격자는 마치 한국의 최신 문서작성 소프트웨어의 무설치 인증판으로 위장해 Orcus RAT 원격제어 기능의 악성파일을 설치하고 있습니다.





지난 번에는 실제로 판매하지 않는 '한글 2017'이라는 제품명을 썼지만, 이번엔 실제 판매 중인 최신 제품 '한글 2018' 이름을 도용하면서, 현재 토렌트 인기자료 1~2 순위에 오를 정도로 많은 이용자들이 다운로드하고 있어 매우 각별한 주의가 필요한 상태입니다. 


해당 악성파일은 정상적인 프로그램처럼 위장하기 위해 나름 1.3G 정도의 대용량 파일크기로 만들어져 있습니다.



9916FF335A25EFD82A75FE

[그림 1] 토렌트에 유포 중인 악성 파일 화면



이용자가 'HWP2018 무설치 인증판.torrent' 파일을 이용해 프로그램을 다운로드하면 실제로 약 1.33G 크기의 폴더가 생성되어 집니다.


폴더 내부에는 다양한 파일과 하위 폴더가 포함되어 있는데, 가장 상위 경로에 'HWP2018.exe' 실행 파일을 보여주어 이용자가 바로 실행하도록 현혹하게 됩니다.


'HWP2018.exe' 파일이 공격자가 원격에서 감염된 컴퓨터를 제어할 수 있는 해킹 프로그램입니다.



99450E335A25EFE621070B

[그림 2] 불법 문서 작성 소프트웨어로 위장한 악성 파일 화면



만일, 이용자가 정상파일로 오인해 'HWP2018.exe' 파일을 실행할 경우 악성파일은 C 드라이브 경로에 'office' 폴더를 생성하고 숨김 속성으로 'office.exe' 악성파일을 복사하고 실행합니다.



9923A7335A25EFF42A82B8

[그림 3] 추가로 생성된 악성파일 화면 



감염이 정상적으로 진행되면 'Orcus RAT' 기반의 원격제어 기능의 악성파일은 한국의 특정 서버로 통신을 시도합니다. 11월 달에 발견된 경우도 명령제어 서버(C2) '211.110.35.168' 주소가 한국 이었던 특징이 있습니다.



- 203.229.109.13:10136 (한국)



999F88335A25F00025F42E

[그림 4] 악성파일이 실행되어 명령제어 서버와 통신하는 화면



공격자는 원격제어를 통해 감염된 컴퓨터의 일거수일투족을 실시간으로 볼 수 있으며, 특정 파일을 유출하거나 삭제할 수 있는 권한을 가질 수 있게 됩니다.


이처럼 토렌트 등에서 유포되는 불법 소프트웨어는 항상 최신 보안 위협에 노출되고 있다는 점을 명심하고, 반드시 정품 소프트웨어를 사용하는 노력이 필요하겠습니다.


알약에서는 Trojan.Injector.1495040 탐지명 등으로 추가된 상태이며, 또 다른 변종 출현에 대비에 보안 모니터링을 강화하고 있습니다.

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
profile

아버지

2017.12.06 19:08

정보 매우 감사합니다...!!!

profile

lava

2017.12.06 20:07

이건 특히 우리나라에서 조심해야겠네요

profile

루인루

2017.12.07 00:23

정보 감사합니다

profile

꼬마쭌

2017.12.07 17:48

정보 감사합니다.

profile

은희사랑

2017.12.09 13:07

좋은 정보 감사합니다.

profile

혀니

2017.12.15 11:57

정보 감사합니다.

profile

likethatsense

2017.12.17 23:55

좋은정보감사합니다!!

profile

레드이브

2017.12.18 00:21

후덜덜덜 하네요

profile

무무심

2017.12.20 22:35

정보 감사합니다

profile

프리스켓

2017.12.22 15:12

정보 감사합니다.

profile

mantoman

2017.12.27 16:19

좋은자료 고맙습니다...

profile

애절송

2017.12.28 10:05

무설치판이 더 무서운건가봅니다.

profile

suhyou

2018.01.10 09:08
좋은 정보 감사합니다
profile

호박씨

2018.02.06 11:02
여기에도 ho2018.rar 으로 자료실에 등록돼 있던데 이것도 가짜인가요?
profile

dndkqja

2018.02.19 18:26
좋은 정보 감사합니다.
profile

mantoman

2018.03.19 10:42
이건 특히 우리나라에서 조심해야겠네요
profile

시누대

2018.05.23 15:23
2010을 둔갑시켜 배포 하던군요 ㅠㅠ
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 150
376 보안 소식 액티브X 걷어낸다…차세대 전자서명 '각축' + 1 티오피 08-14 192
375 일반 검찰, 가상화폐 거래소 업비트 압수수색… 장부거래 혐의 file + 3 Op 05-14 685
374 보안 소식 중견기업도 당했다…이메일로 전파되는 '이모텟' 악성코드 주의보 + 1 파란하늘 05-01 818
373 일반 한국 세계 6번째 타깃 + 5 파란하늘 04-25 689
372 보안 소식 카카오톡 보안에도 구멍이? + 3 파란하늘 04-05 506
371 보안 소식 이력서로 위장한 ‘시그마 랜섬웨어’ 전세계 유포 + 7 파란하늘 03-27 362
370 보안 소식 지인인척 현금 요구… 카톡 계정 해킹 `기승` + 3 파란하늘 03-25 290
369 MS가 투자한 오픈소스 보안테스팅툴 국내출시 file + 9 Op 02-18 560
368 보안 소식 제로데이 취약점 발견.. '어도비 플래시 플레이어 사용 자제를' file + 9 Op 02-02 500
367 일반 경찰, 빗썸 압수수색…해킹 파문 일파만파 file + 5 Op 02-02 543
366 “가상화폐 거래소 10개사, 보안기준 통과업체 0곳” + 11 Op 01-25 299
365 보안 소식 "액티브 X"가 한국에서만 사라지지 않는 진짜 이유... ㄷㄷㄷ file + 23 Op 01-18 583
364 보안 자료 인텔 컴퓨터, 또 해킹 취약점 나와…"노트북 해킹 30초면 돼" file + 8 Op 01-14 339
363 보안 소식 2017 결산-보안]지구촌 '울린' 랜섬웨어 + 3 덕애 12-30 148
362 보안 소식 리투아니아, 보안 우려로 카스퍼스키 소프트웨어 사용 금지 + 3 티오피 12-25 158
361 보안 소식 윈도우 정품 인증 툴로 유명한 KMSpico, 가상화폐 채굴 악성코드 포함되어 있어 + 11 티오피 12-23 554
360 보안 소식 Windows10에 포함되어 있는 비밀번호 관리 프로그램, 해킹 가능한 취약점 발견 + 5 티오피 12-19 268
359 보안 소식 새로운 악성코드 Satori 발견! + 9 티오피 12-09 317
358 보안 소식 한컴오피스 NEO 보안 업데이트 12월 7일 + 9 티오피 12-07 245
» 보안 소식 hit [주의] 가짜 HWP2018 무설치 인증판으로 둔갑한 해킹 프로그램 + 17 티오피 12-06 3130
356 보안 소식 카스퍼스키 미국에 이어 영국에서도 사용 금지? + 5 티오피 12-05 271
355 보안 소식 한컴오피스 보안 업데이트 권고 + 5 티오피 12-01 278
354 보안 소식 MS 오피스의 내장 기능, 자가 복제 멀웨어를 생성하는데 악용될 수 있어 + 6 티오피 11-28 157
353 보안 소식 구글, 위치 서비스가 비활성화인 상태에서도 안드로이드 위치 데이터 수집해 + 8 티오피 11-23 150
352 보안 소식 파이어폭스, 내년부터 캔버스 지문 채취 차단 + 6 티오피 11-14 329
위로