얼리어답터라면 주의! CES 2020 참가 신청서로 위장한 악성 파일 유포 중

얼리어답터라면 주의! CES 2020 참가 신청서로 위장한 악성 파일 유포 중 AhnLab ASEC 분석팀 l 2019-10-30         최근 ‘CES 2020 참관단 참가 신청서’로 위장한 악성 한글 파일이 유포된 것이 확인됐다. CES(Consumer Electronics Show)는 매년 1월 미국 라스베가스에서 개최되는 세계 최대 규모의 가전 IT 제품 전시회로, 최신 기술에 대해 관심이 높은 일반 개인은 물론, 기업과 언론인들이 전 세계에서 모여드는 행사다. 수많은 사람들의 관심의 대상인 CES 2020의 참가 등록이 최근 시작되면서 이들을 노린 위협이 본격화될 것으로 보인다.   지난 10월 24일, 안랩 시큐리티대응센터(AhnLab Security Emergency-response Center, ASEC)는 [그림 1]과 같은 ‘『 미국 라스베가스 CES 2020 참관단』 참가신청서'라는 내용의 악성 한글 파일을 확인했다.   [그림 1] CES 2020 참관단 참가 신청서로 위장한 악성 한글 파일   [그림 1]의 악성 파일은 한국정보산업연합회에서 최근 온라인 게시판에 공지한 실제 CES 참가신청서 문서를 악용한 것으로 확인됐다. ASEC에 따르면, 해당 악성 파일은 정상적인 한글 문서에 CVE-2017-8291 취약점을 이용해 악성 포스트스크립트 이미지를 삽입하여 악성코드가 실행하도록 되어있다. [그림 1]에 빨간색으로 표시된 부분이 사용자에게 보이지 않게 처리된 악성 포스트스크립트 이미지가 삽입된 부분이다.   삽입된 악성 포스트스크립트 파일에 의해 gswin32c.exe 프로세스나 gbb.exe 프로세스가 동작하여현재 실행 중인 explorer.exe 프로세스를 찾아 악성 쉘코드를 인젝션한다. 결과적으로 악의적인 기능은 explorer.exe 프로세스에서 발생된다.   [그림 2] explorer.exe 프로세스에 인젝션된 쉘코드   또한 인젝션된 쉘코드는 [그림 3]과 같이 특정한 3개의 URL에 접속해 유효한 PE 파일을 검색 및 확인하는 기능을 갖고 있다.   [그림 3] 특정 URL에 접속해 PE 파일 확인   V3 제품군에서는 해당 파일과 관련된 악성코드를 다음과 같은 진단명으로 탐지하고 있다.   <V3 제품군 진단명> - HWP/Exploit (2019.10.24.05) - Trojan/Win64.Hwdoor (2019.10.24.07) - EPS/Exploit.S8 (2019.10.25.00)   악의적인 공격자들은 많은 사람들이 관심을 갖는 사회적 이슈 등을 활용해 악성코드를 유포한다. 이러한 공격의 피해를 예방하기 위해서는 한글 등 사용 중인 프로그램의 취약점을 이용한 최신 보안 패치를 적용해야 한다. 또한 자신과 관련 있어 보이는 내용이라도 이메일이나 온라인 커뮤니티의 출처가 불분명한 첨부 파일은 열어보지 않도록 주의해야 한다.   CES 2020에 관심을 가진 사람들을 노린 악성 파일에 관한 보다 자세한 내용은 ASEC 블로그에서 확인할 수 있다.   ▶ ASEC 블로그 바로가기