特製的HWP文件檔在韓國發動 APT 目標攻擊

幾個禮拜前，趨勢科技發現有一個特製的韓國文書處理軟體檔案（HWP）會攻擊Hancom Office文書處理系統內的應用程式漏洞。這個副檔名HWP是在韓國很普及的文書處理軟體檔案格式，使用針對韓國潛在受害者所使用的格式，或許就是他們的目的。

這個被偵測為TROJ_MDROP.ZD的特製文件檔是以電子郵件附檔的方式到達受害者的手上，它用韓國最近發生的謀殺案做為社交工程陷阱( Social Engineering)誘餌。這封電子郵件送給一間知名的韓國企業的眾多員工。

打開惡意附件檔後，TROJ_MDROP.ZD會攻擊一個目前仍不明的漏洞來植入並在背景執行後門程式BKDR_VISEL.FO。這個後門程式可以讓潛在攻擊者來做遠端存取，能在受感染機器做出其他惡意行為。根據我們的分析，BKDR_VISEL.FO也能夠停掉特定的防毒程式，讓它更難被偵測和清除。這個後門程式也會下載並執行其他惡意檔案，讓受感染系統被進一步的感染和或竊取資料。

執行之後，TROJ_MDROP.ZD會用另一個非惡意HWP文件檔取代自己以防使用者懷疑。這個被當做誘餌的文件包含以下的韓文內容：

替將來的攻擊進行偵察

從這目標公司的狀況來看，一次成功的感染可能會導致大量客戶個人資料被竊取。加上HWP是韓國政府文書處理時的標準格式，所以現在的攻擊很可能只是偵察階段，為了以後更大更廣泛攻擊做準備。

從這起事件中，我們可以看到攻擊者會使用區域性應用程式的弱點。Hancom Office也不是第一個被攻擊者攻擊漏洞的區域性應用程式。我們之前報導過另一起事件，惡意攻擊者攻擊日文文書處理軟體Ichitaro。攻擊成功之後會導致安裝後門程式。這兩起事件證明了使用區域性應用程式並不能保證沒有惡意攻擊發生。所以，文書處理軟體廠商如果使用了可能有漏洞的特定第三方模組，就需要注意業界的漏洞資訊，並準備加以更新。

這凸顯出了安全性的重要，特別是那些服務包括儲存客戶資料的公司。一旦公司被入侵成功，不僅讓他們的客戶處在危險中，也會很快就毀了他們的聲譽。這起事件裡幸運的是，很快的就執行了適當的消除步驟。然而，我們也必須保持警覺，因為這不會是我們最後一次看到這類威脅。

趨勢科技的使用者可以透過趨勢科技主動式雲端截毒服務  Smart Protection Network來偵測和刪除相關的惡意檔案。它也在惡意郵件抵達使用者信箱前就加以封鎖。

補充資料

根據趨勢科技的分析，TROJ_MDROP.ZD會造成一個外掛程式 – HNCTextArt.hplg的緩衝區溢位，這是HWP.EXE用來處理HWP檔案的程式。HNCTextArt.hplg有一個程式碼會將寬字元字串（包含空白結尾字元）從來源複製到目的地。來源的字串必須要包含空白結尾字元。而這起事件裡的惡意HWP檔案中，這個被複製的寬字元字串並沒有包含上述的空白結尾字元，導致了無限迴圈。

也因為如此，HNCTestArt.hplg會不停的複製資料直到發生異常。這會觸發惡意HWP文件檔內的惡意程式碼。這個程式碼會解開、植入和執行PE檔案和用來做為誘餌的非惡意HWP文件。

＠原文出處：Specially Crafted .HWP File Used for Korean Targeted Campaign

@延伸閱讀

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)？

進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

APT 進階持續性滲透攻擊研究報告10個懶人包

＜APT進階持續性威脅＞經由Email 發送的＂員工滿意度調查＂PDF檔案含SYKIPOT，展開目標攻擊行動

◎ 歡迎加入趨勢科技社群網站