Hwp malicious code disguised as Korea's Financial Supervisory Service

금융감독원으로 위장한 hwp 악성코드가 헌팅되었다.

HWP Malware disguised as Financial Supervisory Service was Hunted .

전자지갑개발자 김고운.hwp (71C78B84F0153BA64D30EA986C3E682B) 악성코드와 마찬가지로 16바이트의 XOR 키로 쉘코드가 암호화 되어있다.

전자지갑개발자 김고운.hwp XOR KEY : 566F7B3F6AF8D0B00593F3A83CD8AF16

유사수신행위 위반통보.hwp XOR KEY : C9582680978FDE80593F2BC164F9AC6F

 

압축을 해제하면 아래와 같이 Post Script코드와 쉘코드가 나온다.

When you decode the code, you get Post Script code and shell code.

악성코드 구조체의 시그니처 값인  0xAABBCCDD가 존재하고 이후 다운로드 URL이 존재한다.

The signature value of the malicious code structure, 0xAABBCCDD, exists and there is a download URL.

tpddata.com는 최근 공개된 HWP 샘플들에서 계속 사용되고 있다.

"tpddata.com" continues to be used in the recently released HWP samples.

현종석 트레이딩시스템 경력기술서.hwp  (MD5 : 2228FEA495BEE51DC88C1A0ED953450A)

신재영 전산담당 경력.hwp ( MD5 : 06CFC6CDA57FB5B67EE3EB0400DD5B97)

금융안정 컨퍼런스 개최결과.hwp ( MD5 : 69AD5BD4B881D6D1FDB7B19939903E0B )

국제금융체제 실무그룹 회의결과.hwp ( MD5 : CF09201F02F2EDB9C555942A2D6B01D4 )

IoC

 유사수신행위 위반통보.hwp

MD5 : 298A17C20A517DC02BC5388BC645837D

SHA 1 : EF86B14F9798D5C51A8ECB757447F4D2681B39D2

SHA 256 : A9D579819370E860ECE7890C3490CDE17A41F56A63452066C67799191B1AC0EF

 

Downloaded URL :

https://tpddata[.]com/flash/gcoin2[.]swf 

MD5 : A7C804B62AE93D708478949F498342F9

SHA 1 : 09DB826A7B6DBB16E2D7B3046E0DA9FE7342F00F

SHA 256 : 3FF4EBAE6C255D4AE6B747A77F2821F2B619825C7789C7EE5338DA5ECB375395

https://tpddata[.]com/flash/gcoin4[.]swf : 

MD5 : 86685EC8C3C717AA2A9702E2C9DEC379

SHA 1 : 29DDF9BAAD018518060814A03D424F4E08A0E914

SHA 256 : C2F150DBE9A8EFB72DC46416CA29ACDBAE6FD4A2AF16B27F153EAABD4772A2A1

Malware C2

www[.]pakteb[.]com/include/left[.]php

www[.]nuokejs[.]com/contactus/about[.]php

www[.]qdbazaar[.]com/include/footer[.]php