EPS will never die.

EPS취약점을 이용한 한글 악성코드가 또 헌팅되었다.

알트플래닛이해하기[448].hwp

• 8e0f0cc87b9d80e5928cf19fe273cde28978ec31b3115f978fa8de2723d470a5

악성코드는 알트플래닛이라는 코인에 대한 내용을 담고있다.

또 실수를했다 !

수정합니다.

 2018 대한민국 대중문화예술상[440].hwp

349b8afa3a1daf495e7178b563a7de3f58d6c63140d042cc08be5770d03bd8f5

익숙한 EPS취약점을 통한 공격이며 다운로드 주소는 아래와 같다.

그런데..! 다운로드 파일이 0xAA로 암호화 되어있다! (Before Decrypt / After)

악성코드는 역시 익숙한 manuscrypt이며 C2는 아래와 같다.

IOC

 2018 대한민국 대중문화예술상[440].hwp

349b8afa3a1daf495e7178b563a7de3f58d6c63140d042cc08be5770d03bd8f5

download url

hxxps://totobbs.com/data/flower0.md (Not 32 or 64 or x86 !!!!!!!)

hxxps://totobbs.com/data/flower1.md

downloaded file (md5)

flower0.md : 83127fca1209e0a866add74d9b7d95a5

flower1.md : a3b2d8a13b8b63908c5ce9afd0becc4d

mal c2

hxxps://dgjswgl.com/include/freelist.php

hxxps://lfsyjk.com/include/listview.php

hxxps://lnlyjd.com/include/control.php