정상 문서 파일로 위장한 악성 코드 유포 (Kimsuky 그룹)

ASEC 분석팀은 지난 820일부터 Kimsuky 그룹의 공격 정황을 다수 확인하였다. 파일명에 docx, pdf, txt 등 문서 확장자를 포함한 정상 파일로 위장하여 유포 중이며, 해당 악성코드는 정상 파일 드롭 및 실행, 감염 PC 정보 탈취, 추가 악성코드 다운로드를 수행한다. 해당 방식은 Kimsuky 그룹이 자주 사용하는 위장 방식과 동작 방식으로 국내 정부기관, 대학 교수 등을 대상으로 하는 APT 공격에 사용된다.

  • 유포 파일명
유포 날짜 유포 파일명
2020/08/20 4.[아태연구]논문투고규정.docx.exe
2020/08/26 Button01_[2020 서울안보대화] 모시는 글.pdf.exe
2020/09/03 [양식] 개인정보이용동의서.txt.exe

해당 악성코드 유형은 리소스 영역에 암호화된 데이터를 포함하고 있으며, 실행시 디코딩 과정을 수행한다. 디코딩된 데이터는 정상 문서 파일이며 TEMP 폴더에 드롭 후 실행하여 사용자가 악성 행위를 인지하지 못하도록 한다. 문서 정보와 내용은 아래와 같다.

  • 4.[아태연구]논문투고규정.docx
문서 내용 (1)
문서 정보
  • [양식] 개인정보이용동의서.txt
문서 내용 (2)

문서 파일 실행 후 사용자 PC 정보를 수집하며 “C:Users[사용자명]AppDataRoamingMicrosoftHNC” 경로 내 docx 파일을 생성하여 감염 PC 정보를 저장한다. 수집하는 정보는 아래와 같으며 해당 정보를 공격자 서버에 전송한다

[수집정보]

  • 바탕화면 파일 및 폴더
  • 최근 문서
  • Program Files (x86) 파일 및 폴더
  • Systeminfo 정보

[C2]

  • hxxp://pingguo2.atwebpages.com/home/jpg/post.php
  • hxxp://upgrad.atwebpages.com/img/png/post.php

이후 아래의 주소에서 추가 악성 파일 다운로드를 시도한다. 다운로드 되는 파일은 dll 형태로 백도어 유형의 악성코드로 추정된다. 유포 중인 Kimsuky 그룹 악성코드들의 C2 와 다운로드 주소가 동일한 것으로 확인하였으며, 해당 주소들은 과거부터 사용된 Kimsuky 그룹의 C2 와 유사한 형태를 띄고 있다. 

[다운로드 url]

  • hxxp://pingguo2.atwebpages.com/home/jpg/download.php?filename=button01
  • hxxp://portable.epizy.com/img/png/download.png/?filename=images0

현재 V3 제품에서는 관련 파일에 대하여 다음과 같이 진단하고 있다.

 

[파일 진단]

  • Trojan/Win32.Agent (2020.08.29.00)
  • Trojan/Win32.Kimsuky (2020.09.04.03)

[Hash]

  • adc39a303e9f77185758587875097bb6
  • 1e9543ad3cefb87bc1d374e2c2d09546

Categories:악성코드 정보

Tagged as:, ,

0 0 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments