그누보드 파일 다운로드

한국에서 널리 사용되는 HWP 소프트웨어의 취약점을 사용하여 대상 사용자가 이메일에 첨부 된이 문서를 볼 때 악성 코드를 실행할 수 있습니다. 실제 공격에 사용되는 HWP 파일은 다음과 같습니다. 이 „Freedom.dll“ 파일은 다운로더 역할을 하도록 설계되었으며 다음과 같은 역할을 합니다: 이 모듈은 Chrome 브라우저에서 정보를 도용하고 „AppDataLocalGoogleChromeUser DataDefault“에서 쿠키 및 로그인 데이터 파일의 값을 봅니다. 그들은 또한 MyEtherWallet에서 발행 한 이더리움 키 스토어 파일을 훔쳤습니다. 그런 다음, 파일 경로에 저장된 암호 화폐 지갑 및 해당 개인 키의 제어를 하기 위해, 추가 악성 코드 („59203b2253e5a53a146c583ac1ab8dcf78f8b9410dee30d8275f1d228975940e“) 파일의 대상 파일을 압축하는. 파일을 수집하기 위해 추가 맬웨어를 수동으로 컴파일하고 배포하는 것과 같은 추가 감염 후 작업을 모니터링하고 관리할 책임이 있음을 알 수 있습니다. 대상 사용자에 따라 해커는 사용자 정보를 도용하는 파일 이름 „Cobra_[MAC 주소]“로 추가 맬웨어 바이너리를 선택적으로 보냅니다. 이를 통해 더 가치 있는 맬웨어가 관심 있는 피해자만 보관되도록 할 수 있습니다. zip 첨부 파일은 두 개의 일반 문서 파일과 파일 이름에 많은 공백이 있는 HWP(한글 워드 프로세서) 문서 아이콘을 사용하여 위장한 실행 가능한 맬웨어 조각으로 구성되어 있으므로 „.exe“ 확장명이 사용자에게 표시되지 않도록 하여 파일 실행을 유도합니다. 맬웨어가 SFX(자체 추출 아카이브) 파일 유형으로 실행되면 HWP(일반 한글 워드 프로세서) 문서 인 „2.wsf“ 및 „3.wsf“를 압축 해제합니다.

이것에 대해 독특한 것은 두 개의 서로 다른 RAT를 사용한다는 것입니다. 첫 번째 RAT는 „2.wsf“를 통해 다운로드된 DLL이고 두 번째 RAT는 스크립트 기반 „3.wsf“ 파일입니다. 그 중 하나가 감지되더라도 다른 하나가 사용됩니다. 2019 년 1 월, 악성 코드는 Google 드라이브에서 C2 정보를 얻은 파일을 다운로드 기자에게 배포. 해커의 구글 드라이브 계정은 „카운트 인 [.] 보호자[.] mail@gmail[.] com“을 참조하십시오. 이 이메일 계정은 2017년 9월에 비밀번호 재설정을 요청한 Gmail 피싱 공격에도 사용되었습니다. 이는 피싱 및 Google 드라이브 멀웨어 콘텐츠 호스팅에 대해 생성하고 사용하는 Gmail 계정 중 하나의 예입니다. „2.wsf“를 통해 다운로드 한 파일은 „Freedom.dll“입니다. 이 파일은 C2 서버의 주소를 얻기 위해 Google 드라이브를 사용하지만 C2 서버 또는 Google 드라이브에 연결할 수없는 경우 „ago2[.] 공동[.] kr“을 기본적으로 C2로 사용됩니다. 일본 IP 주소가 있는 한국의 최상위 도메인을 사용하는 이 C2 서버는 이를 추적하는 중요한 단서입니다. „WSF“ 및 „VBS“ 스크립트 파일은 단일 아카이브로 압축되어 사용자가 압축된 파일에서 스크립트 파일을 실행하도록 유도합니다. 실제 공격에 사용되는 스크립트는 다음과 같습니다.