본문 바로가기
악성코드 정보

정상 문서 파일로 위장한 악성 코드 유포 (Kimsuky 그룹)

by AhnLab ASEC 분석팀 2020. 9. 4.

ASEC 분석팀은 지난 820일부터 Kimsuky 그룹의 공격 정황을 다수 확인하였다. 파일명에 docx, pdf, txt 등 문서 확장자를 포함한 정상 파일로 위장하여 유포 중이며, 해당 악성코드는 정상 파일 드롭 및 실행, 감염 PC 정보 탈취, 추가 악성코드 다운로드를 수행한다. 해당 방식은 Kimsuky 그룹이 자주 사용하는 위장 방식과 동작 방식으로 국내 정부기관, 대학 교수 등을 대상으로 하는 APT 공격에 사용된다.

 

  • 유포 파일명
유포 날짜 유포 파일명
2020/08/20 4.[아태연구]논문투고규정.docx.exe
2020/08/26 Button01_[2020 서울안보대화] 모시는 글.pdf.exe
2020/09/03 [양식] 개인정보이용동의서.txt.exe

 

해당 악성코드 유형은 리소스 영역에 암호화된 데이터를 포함하고 있으며, 실행시 디코딩 과정을 수행한다. 디코딩된 데이터는 정상 문서 파일이며 TEMP 폴더에 드롭 후 실행하여 사용자가 악성 행위를 인지하지 못하도록 한다. 문서 정보와 내용은 아래와 같다.

 

  • 4.[아태연구]논문투고규정.docx

문서 내용 (1)
문서 정보

 

  • [양식] 개인정보이용동의서.txt

문서 내용 (2)

 

문서 파일 실행 후 사용자 PC 정보를 수집하며 "C:\Users\[사용자명]\AppData\Roaming\Microsoft\HNC" 경로 내 docx 파일을 생성하여 감염 PC 정보를 저장한다. 수집하는 정보는 아래와 같으며 해당 정보를 공격자 서버에 전송한다

 

[수집정보]

  • 바탕화면 파일 및 폴더
  • 최근 문서
  • Program Files (x86) 파일 및 폴더
  • Systeminfo 정보

[C2]

  • hxxp://pingguo2.atwebpages.com/home/jpg/post.php
  • hxxp://upgrad.atwebpages.com/img/png/post.php

 

이후 아래의 주소에서 추가 악성 파일 다운로드를 시도한다. 다운로드 되는 파일은 dll 형태로 백도어 유형의 악성코드로 추정된다. 유포 중인 Kimsuky 그룹 악성코드들의 C2 와 다운로드 주소가 동일한 것으로 확인하였으며, 해당 주소들은 과거부터 사용된 Kimsuky 그룹의 C2 와 유사한 형태를 띄고 있다. 

 

[다운로드 url]

  • hxxp://pingguo2.atwebpages.com/home/jpg/download.php?filename=button01
  • hxxp://portable.epizy.com/img/png/download.png/?filename=images0

 

현재 V3 제품에서는 관련 파일에 대하여 다음과 같이 진단하고 있다.

 

[파일 진단]

  • Trojan/Win32.Agent (2020.08.29.00)
  • Trojan/Win32.Kimsuky (2020.09.04.03)

[Hash]

  • adc39a303e9f77185758587875097bb6
  • 1e9543ad3cefb87bc1d374e2c2d09546

 

태그

, ,

댓글0