메뉴 건너뛰기

중요 공지 [필독] 중요 공지 보기.

오에스매니아

99781A335A25F12F2FA786



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


지난 달에도 비슷한 유형을 주의차원에서 안내해 드렸던 적이 있었습니다만,  12월 03일부터 동일한 공격자로 추정되는 인물이 불특정 다수를 대상으로 새로운 악성파일을 토렌트로 유포시키고 있어 각별한 주의가 필요합니다.


공격자는 마치 한국의 최신 문서작성 소프트웨어의 무설치 인증판으로 위장해 Orcus RAT 원격제어 기능의 악성파일을 설치하고 있습니다.





지난 번에는 실제로 판매하지 않는 '한글 2017'이라는 제품명을 썼지만, 이번엔 실제 판매 중인 최신 제품 '한글 2018' 이름을 도용하면서, 현재 토렌트 인기자료 1~2 순위에 오를 정도로 많은 이용자들이 다운로드하고 있어 매우 각별한 주의가 필요한 상태입니다. 


해당 악성파일은 정상적인 프로그램처럼 위장하기 위해 나름 1.3G 정도의 대용량 파일크기로 만들어져 있습니다.



9916FF335A25EFD82A75FE

[그림 1] 토렌트에 유포 중인 악성 파일 화면



이용자가 'HWP2018 무설치 인증판.torrent' 파일을 이용해 프로그램을 다운로드하면 실제로 약 1.33G 크기의 폴더가 생성되어 집니다.


폴더 내부에는 다양한 파일과 하위 폴더가 포함되어 있는데, 가장 상위 경로에 'HWP2018.exe' 실행 파일을 보여주어 이용자가 바로 실행하도록 현혹하게 됩니다.


'HWP2018.exe' 파일이 공격자가 원격에서 감염된 컴퓨터를 제어할 수 있는 해킹 프로그램입니다.



99450E335A25EFE621070B

[그림 2] 불법 문서 작성 소프트웨어로 위장한 악성 파일 화면



만일, 이용자가 정상파일로 오인해 'HWP2018.exe' 파일을 실행할 경우 악성파일은 C 드라이브 경로에 'office' 폴더를 생성하고 숨김 속성으로 'office.exe' 악성파일을 복사하고 실행합니다.



9923A7335A25EFF42A82B8

[그림 3] 추가로 생성된 악성파일 화면 



감염이 정상적으로 진행되면 'Orcus RAT' 기반의 원격제어 기능의 악성파일은 한국의 특정 서버로 통신을 시도합니다. 11월 달에 발견된 경우도 명령제어 서버(C2) '211.110.35.168' 주소가 한국 이었던 특징이 있습니다.



- 203.229.109.13:10136 (한국)



999F88335A25F00025F42E

[그림 4] 악성파일이 실행되어 명령제어 서버와 통신하는 화면



공격자는 원격제어를 통해 감염된 컴퓨터의 일거수일투족을 실시간으로 볼 수 있으며, 특정 파일을 유출하거나 삭제할 수 있는 권한을 가질 수 있게 됩니다.


이처럼 토렌트 등에서 유포되는 불법 소프트웨어는 항상 최신 보안 위협에 노출되고 있다는 점을 명심하고, 반드시 정품 소프트웨어를 사용하는 노력이 필요하겠습니다.


알약에서는 Trojan.Injector.1495040 탐지명 등으로 추가된 상태이며, 또 다른 변종 출현에 대비에 보안 모니터링을 강화하고 있습니다.

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
profile

아버지

2017.12.06 19:08
가입일: 2015:11.29
총 게시물수: 12
총 댓글수: 4576

정보 매우 감사합니다...!!!

profile

lava

2017.12.06 20:07
가입일: 2016:07.28
총 게시물수: 44
총 댓글수: 515

이건 특히 우리나라에서 조심해야겠네요

profile

루인루

2017.12.07 00:23
가입일:
총 게시물수: 1
총 댓글수: 109

정보 감사합니다

profile

꼬마쭌

2017.12.07 17:48
가입일:
총 게시물수: 1
총 댓글수: 118

정보 감사합니다.

profile

은희사랑

2017.12.09 13:07
가입일: 2017:11.18
총 게시물수: 45
총 댓글수: 318

좋은 정보 감사합니다.

profile

혀니

2017.12.15 11:57
가입일:
총 게시물수: 1
총 댓글수: 11

정보 감사합니다.

profile

likethatsense

2017.12.17 23:55
가입일:
총 게시물수: 3
총 댓글수: 27

좋은정보감사합니다!!

profile

레드이브

2017.12.18 00:21
가입일:
총 게시물수: 0
총 댓글수: 22

후덜덜덜 하네요

profile

무무심

2017.12.20 22:35
가입일:
총 게시물수: 11
총 댓글수: 1577

정보 감사합니다

profile

프리스켓

2017.12.22 15:12
가입일:
총 게시물수: 0
총 댓글수: 13

정보 감사합니다.

profile

mantoman

2017.12.27 16:19
가입일:
총 게시물수: 0
총 댓글수: 190

좋은자료 고맙습니다...

profile

애절송

2017.12.28 10:05
가입일: 2017:10.10
총 게시물수: 1
총 댓글수: 45

무설치판이 더 무서운건가봅니다.

profile

suhyou

2018.01.10 09:08
가입일:
총 게시물수: 1
총 댓글수: 802
좋은 정보 감사합니다
profile

호박씨

2018.02.06 11:02
가입일:
총 게시물수: 0
총 댓글수: 4
여기에도 ho2018.rar 으로 자료실에 등록돼 있던데 이것도 가짜인가요?
profile

dndkqja

2018.02.19 18:26
가입일:
총 게시물수: 1
총 댓글수: 58
좋은 정보 감사합니다.
profile

mantoman

2018.03.19 10:42
가입일:
총 게시물수: 0
총 댓글수: 190
이건 특히 우리나라에서 조심해야겠네요
profile

시누대

2018.05.23 15:23
가입일: 2018:05.06
총 게시물수: 1
총 댓글수: 58
2010을 둔갑시켜 배포 하던군요 ㅠㅠ
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 183
360 보안 소식 Windows10에 포함되어 있는 비밀번호 관리 프로그램, 해킹 가능한 취약점 발견 + 5 티오피 12-19 424
359 보안 소식 새로운 악성코드 Satori 발견! + 9 티오피 12-09 326
358 보안 소식 한컴오피스 NEO 보안 업데이트 12월 7일 + 9 티오피 12-07 257
» 보안 소식 hit [주의] 가짜 HWP2018 무설치 인증판으로 둔갑한 해킹 프로그램 + 17 티오피 12-06 3286
356 보안 소식 카스퍼스키 미국에 이어 영국에서도 사용 금지? + 5 티오피 12-05 283
355 보안 소식 한컴오피스 보안 업데이트 권고 + 5 티오피 12-01 300
354 보안 소식 MS 오피스의 내장 기능, 자가 복제 멀웨어를 생성하는데 악용될 수 있어 + 6 티오피 11-28 167
353 보안 소식 구글, 위치 서비스가 비활성화인 상태에서도 안드로이드 위치 데이터 수집해 + 8 티오피 11-23 158
352 보안 소식 파이어폭스, 내년부터 캔버스 지문 채취 차단 + 6 티오피 11-14 335
351 보안 소식 LockCrypt 랜섬웨어가 Satan RaaS를 통해 시작 돼, 변종 배포 시작 + 4 티오피 11-14 397
350 보안 소식 [주의] 한국에서 제작된 것으로 추정되는 Blacklistcp 랜섬웨어 등장 + 5 티오피 11-13 286
349 보안 소식 Vault 8: 위키리크스, CIA의 멀웨어 제어 시스템인 Hive 소스 공개해 + 3 티오피 11-13 175
348 백신 자료 카스퍼스키 무료(프리 버전) 한글 다운로드 설치하기 + 10 철인 11-11 487
347 보안 소식 150일 만에 리눅스 서버 랜섬웨어 감염...공격 방식·규모 촉각 + 3 티오피 11-09 264
346 보안 소식 치명적인 Tor 브라우저 취약점, 사용자의 실제 IP 노출 시켜 – 지금 업데이트 하세요 + 3 티오피 11-07 324
345 보안 소식 한글문서 ‘자료연결’ 기능 악용한 국내 표적 악성코드 주의 file + 3 파란하늘 11-07 330
344 보안 소식 네트워크를 통해 퍼지는 Bad Rabbit 랜섬웨어, 우크라이나와 러시아 공격 중 + 7 티오피 10-27 184
343 보안 소식 로키봇- 삭제 시도 하면 랜섬웨어로 변신하는 뱅킹 트로이목마 + 5 티오피 10-25 191
342 보안 소식 카스퍼스키, 신뢰를 얻기 위해 백신 소스 코드 공개해 + 6 티오피 10-25 205
341 보안 소식 구멍 뻥 뚫린 무선랜…사용자 대처법은 + 10 티오피 10-24 258
340 보안 소식 패치 되지 않은 마이크로소프트 DDE 익스플로잇, 광범위한 악성코드 공격에 사용 돼 + 4 티오피 10-24 137
339 보안 소식 [긴급] 신종 랜섬웨어 ‘마이랜섬’ 출현 + 4 덕애 10-21 206
338 보안 소식 풀린 자물쇠 데누보, 게임 출시 ‘하루 만에’ 줄줄이 불법복제 + 5 인어공주 10-20 199
337 보안 소식 트럼프의 DMZ 방문 두고 시끌시끌 file + 4 따봉 10-19 126
336 보안 소식 에퀴팩스 피해자 수, 1억 4,450만 명으로 늘어 file + 5 따봉 10-19 154
위로

Master of OS Mania
×

진정한 OS를 알아볼수 있는 전문가 집단.

오에스매니아 에 가입하십시요

그동안 보지 못한 신세계를 만날수 있습니다.