Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers armam documentos HWP para atacar setores de defesa e imprensa

Os documentos HWP est√£o associados principalmente ao software Hangul Word Processor usado na Coreia do Sul.

Os hackers podem optar por documentos HWP para atingir os setores de defesa nacional e imprensa porque exploram vulnerabilidades neste formato de arquivo e software específico, que pode não ser tão amplamente monitorado ou protegido como formatos de documentos mais comuns, como PDF ou Microsoft Word.

Analistas de seguran√ßa cibern√©tica da ASEC recentemente descoberto Documentos HWP com objetos OLE, potencialmente distribu√≠dos atrav√©s de anexos de e-mail ou links para download, direcionados a setores espec√≠ficos como: –

Os nomes dos documentos est√£o relacionados aos seguintes dom√≠nios: –

  • Defesa nacional
  • Unifica√ß√£o
  • Educa√ß√£o
  • Transmiss√£o

Hackers armam documentos HWP

Os documentos HWP analisados ‚Äč‚Äčt√™m dois tipos principais: –

  • Um conectando-se a um URL externo.
  • O outro criando um arquivo de script.

No entanto, os pesquisadores também suspeitam de um criador comum devido à senha compartilhada do servidor FTP do tipo 2.

Abaixo, mencionamos todos os nomes de arquivos dos documentos HWP: –

  • Unifica√ß√£o ** folha de dicas 29 de maio, seg.hwp
  • 20230508_ProfessorMeetingMaterial_NewTemplate.hwp
  • (***)2023-05-30 Material para Reuni√£o de Professores.hwp
  • Recibo de pagamento (Chefe ***).hwp
  • (Modelo)Recibo de pagamento_Parab√©ns e condol√™ncias Money.hwp
  • 20230512_MyungbakScenario_Details.hwp
  • 1-1.Instala√ß√£o de um Servi√ßo Separado de Apoio √† Pesquisa dentro da Organiza√ß√£o Supervisora ‚Äč‚Äč(** Centro de Coopera√ß√£o Acad√™mico-Ind√ļstria da Escola de P√≥s-Gradua√ß√£o Universit√°ria).hwp
  • Material de refer√™ncia para o presidente da escola para a cerim√īnia de premia√ß√£o do doutorado honor√°rio do ex-primeiro-ministro Hu** ***.hwp
  • [Faculty Training Department-489 (Attached)] [Attachment 3] Cart√£o de professor (modelo).hwp
  • Defesa e Prote√ß√£o Nacional Sacrificadas por Disputas Pol√≠ticas.hwp
  • ** Unifica√ß√£o 30 de abril de 2023 (domingo).hwp
  • Especial A Ind√ļstria Agr√≠cola e Qualidade de Vida da Coreia do Norte ** Cho.hwp
  • 42- Li√ß√£o de Wagner (agosto de 2023).hwp
  • [Template1] Solicita√ß√£o de problema de or√ßamento empresarial.hwp
  • Avalia√ß√£o de disserta√ß√£o (** Kwon).hwp
  • Documentos Comprobat√≥rios de Pagamento de Incentivo.hwp
  • ** Unifica√ß√£o 06 de setembro, quarta-feira final.hwp
  • ** Kim_Declara√ß√£o de pagamento de honor√°rios.hwp
  • [Template_Attachment 5]_Recommender_Certificate_Template-** Jeon.hwp
N√≥s recomendamos:  Samsung lan√ßou Crystal 4K UHD 2023 e Unbox Magic 3.0 Smart TVs na √ćndia

O objeto OLE possui 5 MB de bytes fict√≠cios e uma URL maliciosa. Quando clicado, ele se conecta a esse URL, e os URLs maliciosos encontrados s√£o personalizados para indiv√≠duos espec√≠ficos com par√Ęmetros exclusivos.

Aqui abaixo, mencionamos os URLs maliciosos: ‚Äď

  • hxxp://host.sharingdocument[.]um/painel/explorar/com estrela?hwpview=[specific value]
  • hxxp://mail.smartprivacyc[.]com/get/account/view?myact=[specific value]

Tipo 2 Os documentos HWP incorporam um script malicioso. Ele cria zz.bat e oz.txt em% temp%. Clicar neles executa comandos do PowerShell do GitHub: ‚Äď

  • hxxps://raw.githubusercontent[.]com/babaramam/repo/main/pq.txt

Al√©m disso, os dados s√£o desofuscados e executados com uma chave, enquanto o script GitHub possui quatro fun√ß√Ķes que mencionamos a seguir: ‚Äď

  • mainFunc
  • obter informa√ß√£o
  • uploadResult
  • downCommand

O mainFunc altera a política do PowerShell, permitindo a execução posterior de scripts. getinfo coleta dados do usuário de hxxps://raw.githubusercontent[.]com/babaramam/repo/main/info.txt.

uploadResult envia os dados coletados e os exclui. downCommand mantém persistência com o arquivo LNK. thumbs.log executa o script na reinicialização do PC.

Embora colete dados do usu√°rio, o script pode executar v√°rias a√ß√Ķes maliciosas com base no pq.txt.

Hoje em dia, existem vários documentos HWP maliciosos circulando ativamente, por isso é altamente recomendável ter cuidado com os autores e remetentes dos documentos.