kakaoTest.exe 파일명의 Kimsuky 제작 추정 악성코드

최근 ASEC 분석팀은 워드 문서를 이용하여 APT 공격을 시도하는 악성코드 동향을 지속적으로 파악하며 관련 내용을 공유하고 있다. 이번에는 이전 게시글의 Kimsuky 그룹이 제작 유포했던 ‘제헌절 국제학술포럼.doc’, ‘제28차 남북관계전문가토론회***.doc’ 등의 문서 파일로부터 생성된 악성코드와 동일한 코드를 사용한 악성 파일을 추가 확인하여 공유하고자 한다. 해당 파일은 테스트 단계의 파일로 보이며 Kimsuky 그룹이 유사 악성코드를 제작하며 테스트 중인 것으로 추정된다.

정상 엑셀/워드 문서로 위장한 악성 코드 – ASEC BLOG

ASEC 분석팀은 최근 특정 유형의 악성 매크로를 포함한 문서 파일이 지속적으로 유포되고 있음을 확인하였다. 해당 유형의 악성 파일은 아래와 같이 다양한 파일명으로 유포되고 있으며, 모두 정상 파일을 위장하는 내용을 담고 있어 사용자의 주의가 필요하다. 제헌절 국제학술포럼.doc 제28차 남북관계전문가토론회***.doc 사례비 양식.doc email_20210516.xls email_20210414.xls 최근 확인된 엑셀 파일의 경우 ’email_20210516.xls’과 같이 유포 날짜를 파일명에 포함하고 있으며, 아래와 같이 …

kakaoTest.exe라는 파일명으로 제작된 해당 파일은 아래와 같이 test.ini 파일에서 다양한 정보를 읽어와 Daum에 로그인하는 기능을 수행한다.

[그림1] kakaoTest.exe 코드 일부(1)

ini파일에 작성되어 있을 것으로 보이는 user명과 password로 Daum 계정에 로그인 시도 후 성공시 ini파일에 함께 작성되어 있을 것으로 보이는 file Value 값으로 명시된 특정 파일을 업로드 및 receiver에게 전송한다.

Daum 메일 계정에 로그인하여 특정 파일을 전송하는 기능은 이전 ‘정상 엑셀/워드 문서로 위장한 악성 코드’에서 언급했던 pagefile.sys 파일에서도 사용되었다. 악성 행위 뿐만 아니라 코드 역시 유사한 방식으로 작성되어 있어 kakaoTest.exe 역시 동일한 공격 그룹에서 제작한 파일로 추정된다.

Pagefile.sys 파일은 사용자 PC에서 정보를 수집하여 특정 메일로 전송하는 행위를 수행하며, 메일 전송 기능을 수행하는 코드와 최근 확인된 kakaoTest.exe 파일의 코드는 아래와 같이 유사한 형태로 이루어져있다.

[그림2] kakaoTest.exe 코드 일부(2)

[그림3] pagefile.sys 코드 일부

또한, 두 파일 모두 아래의 코드를 포함하고 있으며, 메일 전송 기능 뿐만 아니라 Daum 메일의 여러 URL에 접속하여 로그인 한 계정의 주소록 등의 추가 정보를 확인한다.

[그림4] kakaoTest.exe 코드 일부(3)

kakaoTest.exe 파일의 경우 파일명과 참조하는 파일의 이름으로 보아 테스트 용도로 제작된 것으로 추정된다. 하지만 파일의 기능은 기존 APT 공격에 사용된 악성 파일에서 사용되었으며, 공격자가 이와 같은 행위를 수행하는 파일을 꾸준히 제작하고 있음을 알 수 있다.

이처럼 Daum 메일 로그인을 활용한 악성코드를 제작 및 유포하는 공격 그룹은 여전히 다양한 방식으로 악성코드를 생성하고 있는 것으로 확인되어 사용자의 각별한 주의가 필요하다.

현재 V3에서는 해당 악성코드를 다음과 같은 진단명으로 진단하고 있다.

[파일 진단]

• Trojan/Win.Kimsuky

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.