​

한글 파일에는 특정 코인업체의 운영 정책이 변경되어 해당 사항을 확인하도록 유인하는 내용이 담겨 있다. 특히 파일명이 hanwordupdate.exe로 되어 있어 사용자가 한글 정상 파일로 착각할 수 있으므로 주의해야 한다.

​
[그림] 코인업체 사칭한 악성 한글문서 내용

한글 파일 내부에는 개체를 실행하기 위해 링크가 포함된 도형이 존재하며, 특정 도형들은 페이지 전부를 덮고 있어 사용자가 어느 곳을 선택하여도 악성 파일의 링크를 실행하게 된다.

이 한글 문서에는 파워쉘 스크립트가 포함되어 있어 실행 시 파워쉘을 통해 악성 행위를 수행한다. 이번 공격은 사용자 PC에서 명령어를 실행 후 결과 전송, 추가 악성 파일 다운로드, 서버로 파일 전송 등을 수행하는 전형적인 APT 형태의 악성코드로 추정된다.

최근 다양한 악성 한글 문서가 유포되어 출처가 불분명한 문서에 대해 사용자의 주의가 필요하다. 사용자는 의심스러운 파일을 전달 받게 되면 파일의 작성자를 확인하고, 신뢰할 수 없는 파일에 대해서는 실행을 지양해야 한다.



현재 안랩 제품군에서는 관련 파일 및 URL 에 대하여 아래의 진단명으로 탐지 및 차단하고 있다.

- Exploit/HWP.Generic (2020.07.11.08)
- Trojan/Win32.Agent (2020.07.11.08)

[출처 : 안랩(((www.ahnlab.com)]