정상 문서 파일로 위장한 악성 코드 유포 (Kimsuky 그룹)
ASEC 분석팀은 지난 8월 20일부터 Kimsuky 그룹의 공격 정황을 다수 확인하였다. 파일명에 docx, pdf, txt 등 문서 확장자를 포함한 정상 파일로 위장하여 유포 중이며, 해당 악성코드는 정상 파일 드롭 및 실행, 감염 PC 정보 탈취, 추가 악성코드 다운로드를 수행한다. 해당 방식은 Kimsuky 그룹이 자주 사용하는 위장 방식과 동작 방식으로 국내 정부기관, 대학 교수 등을 대상으로 하는 APT 공격에 사용된다.
- 유포 파일명
| 유포 날짜 | 유포 파일명 |
| 2020/08/20 | 4.[아태연구]논문투고규정.docx.exe |
| 2020/08/26 | Button01_[2020 서울안보대화] 모시는 글.pdf.exe |
| 2020/09/03 | [양식] 개인정보이용동의서.txt.exe |
해당 악성코드 유형은 리소스 영역에 암호화된 데이터를 포함하고 있으며, 실행시 디코딩 과정을 수행한다. 디코딩된 데이터는 정상 문서 파일이며 TEMP 폴더에 드롭 후 실행하여 사용자가 악성 행위를 인지하지 못하도록 한다. 문서 정보와 내용은 아래와 같다.
- 4.[아태연구]논문투고규정.docx
문서 내용 (1)
문서 정보
- [양식] 개인정보이용동의서.txt
문서 내용 (2)
문서 파일 실행 후 사용자 PC 정보를 수집하며 “C:Users[사용자명]AppDataRoamingMicrosoftHNC” 경로 내 docx 파일을 생성하여 감염 PC 정보를 저장한다. 수집하는 정보는 아래와 같으며 해당 정보를 공격자 서버에 전송한다. [수집정보]
- 바탕화면 파일 및 폴더
- 최근 문서
- Program Files (x86) 파일 및 폴더
- Systeminfo 정보
[C2]
- hxxp://pingguo2.atwebpages.com/home/jpg/post.php
- hxxp://upgrad.atwebpages.com/img/png/post.php
이후 아래의 주소에서 추가 악성 파일 다운로드를 시도한다. 다운로드 되는 파일은 dll 형태로 백도어 유형의 악성코드로 추정된다. 유포 중인 Kimsuky 그룹 악성코드들의 C2 와 다운로드 주소가 동일한 것으로 확인하였으며, 해당 주소들은 과거부터 사용된 Kimsuky 그룹의 C2 와 유사한 형태를 띄고 있다. [다운로드 url]
- hxxp://pingguo2.atwebpages.com/home/jpg/download.php?filename=button01
- hxxp://portable.epizy.com/img/png/download.png/?filename=images0
현재 V3 제품에서는 관련 파일에 대하여 다음과 같이 진단하고 있다. [파일 진단]
- Trojan/Win32.Agent (2020.08.29.00)
- Trojan/Win32.Kimsuky (2020.09.04.03)
