HWP belgeleri öncelikle Güney Kore’de kullanılan Hangul Kelime İşlemci yazılımıyla ilişkilidir.
Bilgisayar korsanları, HWP belgelerinin Ulusal Savunma ve Basın Sektörlerini hedeflemesini tercih edebilir çünkü bu özel dosya biçimi ve yazılımındaki, PDF veya Microsoft Word gibi daha yaygın belge biçimleri kadar geniş çapta izlenmeyen veya korunmayan güvenlik açıklarından yararlanırlar.
ASEC’teki siber güvenlik analistleri kısa süre önce, potansiyel olarak e-posta ekleri veya indirme bağlantıları yoluyla dağıtılan ve aşağıdakiler gibi belirli sektörleri hedefleyen OLE nesneleri içeren HWP belgelerini keşfetti: –
Belge adları aşağıdaki alanlarla ilgilidir: –
- Ulusal Savunma
- Birleşme
- Eğitim
- Yayıncılık
Bilgisayar Korsanları HWP Belgelerini Silahlandırıyor
Analiz edilen HWP belgelerinin iki ana türü vardır: –
- Biri harici bir URL’ye bağlanıyor.
- Diğeri bir komut dosyası oluşturuyor.
Ancak araştırmacılar, tip 2’deki paylaşılan FTP sunucusu şifresi nedeniyle ortak bir yaratıcıdan da şüpheleniyorlar.
Aşağıda, tüm HWP belgelerinin dosya adlarından bahsettik: –
- Birleşme** ipucu sayfası 29 Mayıs Pzt.hwp
- 20230508_ProfessorMeetingMaterial_NewTemplate.hwp
- (***)2023-05-30 Profesör Toplantısı Materyalleri.hwp
- Ödeme Makbuzu (Şef ***).hwp
- (Şablon)Ödeme Makbuzu_Tebrik ve Taziye Parası.hwp
- 20230512_MyungbakScenario_Details.hwp
- 1-1.Denetim Kuruluşu Bünyesinde Araştırma Desteğine Yönelik Ayrı Bir Hizmetin Kurulması (** Üniversite Enstitüsü Akademik-Sanayi İşbirliği Merkezi).hwp
- Eski Başbakan Hu** ***.hwp’nin Fahri Doktora Ödül Töreni için Okul Başkanına Yönelik Referans Materyali
- [Faculty Training Department-489 (Attached)] [Attachment 3] Öğretim Görevlisi Kartı (Şablon).hwp
- Milli Savunma ve Koruma Siyasi Anlaşmazlıklara Kurban Edildi.hwp
- ** Birleşme 30 Nisan 2023 (Paz).hwp
- Özel Kuzey Kore’nin Tarım Endüstrisi ve Yaşam Kalitesi ** Cho.hwp
- 42- Wagner’in Dersi (Ağu 2023).hwp
- [Template1] İşletme Bütçesi Sorunu Talebi.hwp
- Tez Değerlendirmesi (** Kwon).hwp
- Teşvik Ödemesine İlişkin Kanıt Belgeler.hwp
- ** Birleşme 06 Eylül Son Çarşamba.hwp
- ** Kim_Fahri Ödeme Beyanı.hwp
- [Template_Attachment 5]_Recommender_Certificate_Template-** Jeon.hwp
OLE nesnesinde 5 MB boş bayt ve kötü amaçlı bir URL var. Tıklandığında bu URL’ye bağlanır ve bulunan kötü amaçlı URL’ler, benzersiz parametrelerle belirli kişilere göre uyarlanır.
Aşağıda, kötü amaçlı URL’lerden bahsettik: –
- hxxp://ana bilgisayar.sharingdocument[.]bir/kontrol paneli/keşfet/yıldızlı?hwpview=[specific value]
- hxxp://mail.smartprivacyc[.]com/get/account/view?myact=[specific value]
Tip 2 HWP belgeleri kötü amaçlı bir komut dosyası yerleştirir. %temp% dosyasında zz.bat ve oz.txt dosyasını oluşturur. Bunlara tıklamak GitHub’dan PowerShell komutlarını çalıştırır: –
- hxxps://raw.githubusercontent[.]com/babaramam/repo/main/pq.txt
Bunun yanı sıra, verilerin gizliliği kaldırılır ve bir anahtarla yürütülürken GitHub betiğinin aşağıda bahsettiğimiz dört işlevi vardır: –
- anaFonksiyon
- bilgi almak
- yüklemeSonucu
- aşağıKomut
mainFunc, PowerShell ilkesini değiştirerek daha sonra komut dosyası yürütülmesini sağlar. getinfo, hxxps://raw.githubusercontent adresinden kullanıcı verilerini toplar[.]com/babaramam/repo/main/info.txt.
uploadResult toplanan verileri gönderir ve siler. downCommand, LNK dosyasında kalıcılığı korur. Thumbs.log betiği bilgisayar yeniden başlatıldığında çalıştırır.
Komut dosyası, kullanıcı verilerini toplamasına rağmen pq.txt dosyasına dayalı olarak çeşitli kötü amaçlı eylemler gerçekleştirebilir.
Günümüzde, aktif olarak dolaşan çok sayıda kötü amaçlı HWP belgesi bulunmaktadır; bu nedenle, belge yazarları ve gönderenleri konusunda dikkatli olmanız önemle tavsiye edilir.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.