Category

  1. 오에스매니아


보안/해킹
스폰서링크

99781A335A25F12F2FA786



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


지난 달에도 비슷한 유형을 주의차원에서 안내해 드렸던 적이 있었습니다만,  12월 03일부터 동일한 공격자로 추정되는 인물이 불특정 다수를 대상으로 새로운 악성파일을 토렌트로 유포시키고 있어 각별한 주의가 필요합니다.


공격자는 마치 한국의 최신 문서작성 소프트웨어의 무설치 인증판으로 위장해 Orcus RAT 원격제어 기능의 악성파일을 설치하고 있습니다.





지난 번에는 실제로 판매하지 않는 '한글 2017'이라는 제품명을 썼지만, 이번엔 실제 판매 중인 최신 제품 '한글 2018' 이름을 도용하면서, 현재 토렌트 인기자료 1~2 순위에 오를 정도로 많은 이용자들이 다운로드하고 있어 매우 각별한 주의가 필요한 상태입니다. 


해당 악성파일은 정상적인 프로그램처럼 위장하기 위해 나름 1.3G 정도의 대용량 파일크기로 만들어져 있습니다.



9916FF335A25EFD82A75FE

[그림 1] 토렌트에 유포 중인 악성 파일 화면



이용자가 'HWP2018 무설치 인증판.torrent' 파일을 이용해 프로그램을 다운로드하면 실제로 약 1.33G 크기의 폴더가 생성되어 집니다.


폴더 내부에는 다양한 파일과 하위 폴더가 포함되어 있는데, 가장 상위 경로에 'HWP2018.exe' 실행 파일을 보여주어 이용자가 바로 실행하도록 현혹하게 됩니다.


'HWP2018.exe' 파일이 공격자가 원격에서 감염된 컴퓨터를 제어할 수 있는 해킹 프로그램입니다.



99450E335A25EFE621070B

[그림 2] 불법 문서 작성 소프트웨어로 위장한 악성 파일 화면



만일, 이용자가 정상파일로 오인해 'HWP2018.exe' 파일을 실행할 경우 악성파일은 C 드라이브 경로에 'office' 폴더를 생성하고 숨김 속성으로 'office.exe' 악성파일을 복사하고 실행합니다.



9923A7335A25EFF42A82B8

[그림 3] 추가로 생성된 악성파일 화면 



감염이 정상적으로 진행되면 'Orcus RAT' 기반의 원격제어 기능의 악성파일은 한국의 특정 서버로 통신을 시도합니다. 11월 달에 발견된 경우도 명령제어 서버(C2) '211.110.35.168' 주소가 한국 이었던 특징이 있습니다.



- 203.229.109.13:10136 (한국)



999F88335A25F00025F42E

[그림 4] 악성파일이 실행되어 명령제어 서버와 통신하는 화면



공격자는 원격제어를 통해 감염된 컴퓨터의 일거수일투족을 실시간으로 볼 수 있으며, 특정 파일을 유출하거나 삭제할 수 있는 권한을 가질 수 있게 됩니다.


이처럼 토렌트 등에서 유포되는 불법 소프트웨어는 항상 최신 보안 위협에 노출되고 있다는 점을 명심하고, 반드시 정품 소프트웨어를 사용하는 노력이 필요하겠습니다.


알약에서는 Trojan.Injector.1495040 탐지명 등으로 추가된 상태이며, 또 다른 변종 출현에 대비에 보안 모니터링을 강화하고 있습니다.

추천한 회원

lava
엮인글 :

놀이터 인기 글

유머 아기 물먹이기!! 5 newfile 2017-12-18 16:31 Mondaykiz
존슨 김소희 newfile 2017-12-18 11:10 익명
존슨 소나무 나현 newfile 2017-12-18 11:10 익명
존슨 조이 newfile 2017-12-18 11:07 익명
존슨 이희은 이벤트란제리 newfile 2017-12-18 10:42 익명

소닉케어 

2017.12.06 17:03:17
*.184.159.162

좋은 정보 감사합니다.
G
M
T
언어를 감지갈리시아어구자라트어그루지야어그리스어네덜란드어네팔어노르웨이어덴마크어독일어라오어라트비아어라틴어러시아어루마니아어리투아니아어마라티어마오리어마케도니아어말레이어말라가시어말라얄람어몰타어몽골어몽어바스크어버마어베트남어벨로루시어벵골의보스니아어불가리아어세르비아어세부아노세소토어소말리아어순다어스와힐리어스웨덴어스페인어슬로바키아어슬로베니아어신할라어아랍어아르메니아어아이슬란드어아이티프랑스말아일랜드어아제르바이잔어아프리칸스어알바니아어에스토니아어에스페란토말영어요루바어우르두어우즈베크어우크라이나어웨일즈어이그보어이디시어이탈리아어인도네시아어일본어자바어줄루어중국어(간체)중국어(번체)체와어체코어카자흐어카탈로니아어칸나다어칸나다어크로아티아어타갈로그어타밀어타직어태국어터키어텔루구어펀자브어페르시아어포르투갈어폴란드어프랑스어핀란드어하우사어한국어헝가리어히브리어힌디어
갈리시아어구자라트어그루지야어그리스어네덜란드어네팔어노르웨이어덴마크어독일어라오어라트비아어라틴어러시아어루마니아어리투아니아어마라티어마오리어마케도니아어말레이어말라가시어말라얄람어몰타어몽골어몽어바스크어버마어베트남어벨로루시어벵골의보스니아어불가리아어세르비아어세부아노세소토어소말리아어순다어스와힐리어스웨덴어스페인어슬로바키아어슬로베니아어신할라어아랍어아르메니아어아이슬란드어아이티프랑스말아일랜드어아제르바이잔어아프리칸스어알바니아어에스토니아어에스페란토말영어요루바어우르두어우즈베크어우크라이나어웨일즈어이그보어이디시어이탈리아어인도네시아어일본어자바어줄루어중국어(간체)중국어(번체)체와어체코어카자흐어카탈로니아어칸나다어칸나다어크로아티아어타갈로그어타밀어타직어태국어터키어텔루구어펀자브어페르시아어포르투갈어폴란드어프랑스어핀란드어하우사어한국어헝가리어히브리어힌디어
음성 기능은 200자로 제한됨
profile

아버지 

2017.12.06 19:08:53
*.246.215.112

정보 매우 감사합니다...!!!

profile

lava 

2017.12.06 20:07:13
*.175.198.115

이건 특히 우리나라에서 조심해야겠네요

루인루 

2017.12.07 00:23:41
*.14.128.143

정보 감사합니다

꼬마쭌 

2017.12.07 17:48:50
*.169.235.82

정보 감사합니다.

은희사랑 

2017.12.09 13:07:55
*.200.48.48

좋은 정보 감사합니다.

혀니 

2017.12.15 11:57:00
*.111.229.204

정보 감사합니다.

likethatsense 

2017.12.17 23:55:47
*.128.196.137

좋은정보감사합니다!!

레드이브 

2017.12.18 00:21:45
*.187.53.17

후덜덜덜 하네요


나울PC 정치 베스트
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file [7] Op 16.10.16 85
359 보안 소식 새로운 악성코드 Satori 발견! [3] 티오피 17.12.9 113
358 보안 소식 한컴오피스 NEO 보안 업데이트 12월 7일 update [5] 티오피 17.12.7 122
» 보안 소식 [주의] 가짜 HWP2018 무설치 인증판으로 둔갑한 해킹 프로그램 [9] 티오피 17.12.6 229
356 보안 소식 카스퍼스키 미국에 이어 영국에서도 사용 금지? [3] 티오피 17.12.5 131
355 보안 소식 한컴오피스 보안 업데이트 권고 [3] 티오피 17.12.1 187
354 보안 소식 MS 오피스의 내장 기능, 자가 복제 멀웨어를 생성하는데 악용될 수 있어 [4] 티오피 17.11.28 101
353 보안 소식 구글, 위치 서비스가 비활성화인 상태에서도 안드로이드 위치 데이터 수집해 [4] 티오피 17.11.23 95
352 보안 소식 파이어폭스, 내년부터 캔버스 지문 채취 차단 [4] 티오피 17.11.14 289
351 보안 소식 LockCrypt 랜섬웨어가 Satan RaaS를 통해 시작 돼, 변종 배포 시작 [2] 티오피 17.11.14 266
350 보안 소식 [주의] 한국에서 제작된 것으로 추정되는 Blacklistcp 랜섬웨어 등장 [3] 티오피 17.11.13 224
349 보안 소식 Vault 8: 위키리크스, CIA의 멀웨어 제어 시스템인 Hive 소스 공개해 [1] 티오피 17.11.13 137
348 백신 자료 카스퍼스키 무료(프리 버전) 한글 다운로드 설치하기 [6] 철인 17.11.11 288
347 보안 소식 150일 만에 리눅스 서버 랜섬웨어 감염...공격 방식·규모 촉각 [1] 티오피 17.11.9 237
346 보안 소식 치명적인 Tor 브라우저 취약점, 사용자의 실제 IP 노출 시켜 – 지금 업데이트 하세요 [1] 티오피 17.11.7 265
345 보안 소식 한글문서 ‘자료연결’ 기능 악용한 국내 표적 악성코드 주의 file [1] 파란하늘 17.11.7 241
344 보안 소식 네트워크를 통해 퍼지는 Bad Rabbit 랜섬웨어, 우크라이나와 러시아 공격 중 [5] 티오피 17.10.27 153
343 보안 소식 로키봇- 삭제 시도 하면 랜섬웨어로 변신하는 뱅킹 트로이목마 [2] 티오피 17.10.25 129
342 보안 소식 카스퍼스키, 신뢰를 얻기 위해 백신 소스 코드 공개해 [4] 티오피 17.10.25 155
341 보안 소식 구멍 뻥 뚫린 무선랜…사용자 대처법은 [7] 티오피 17.10.24 183
340 보안 소식 패치 되지 않은 마이크로소프트 DDE 익스플로잇, 광범위한 악성코드 공격에 사용 돼 [2] 티오피 17.10.24 102