최근 ASEC 분석팀은 워드 문서를 이용하여 APT 공격을 시도하는 악성코드 동향을 지속적으로 파악하며 관련 내용을 공유하고 있다. 이번에는 이전 게시글의 Kimsuky 그룹이 제작 유포했던 ‘제헌절 국제학술포럼.doc’, ‘제28차 남북관계전문가토론회***.doc’ 등의 문서 파일로부터 생성된 악성코드와 동일한 코드를 사용한 악성 파일을 추가 확인하여 공유하고자 한다. 해당 파일은 테스트 단계의 파일로 보이며 Kimsuky 그룹이 유사 악성코드를 제작하며 테스트 중인 것으로 추정된다.
kakaoTest.exe라는 파일명으로 제작된 해당 파일은 아래와 같이 test.ini 파일에서 다양한 정보를 읽어와 Daum에 로그인하는 기능을 수행한다.
ini파일에 작성되어 있을 것으로 보이는 user명과 password로 Daum 계정에 로그인 시도 후 성공시 ini파일에 함께 작성되어 있을 것으로 보이는 file Value 값으로 명시된 특정 파일을 업로드 및 receiver에게 전송한다.
Daum 메일 계정에 로그인하여 특정 파일을 전송하는 기능은 이전 ‘정상 엑셀/워드 문서로 위장한 악성 코드’에서 언급했던 pagefile.sys 파일에서도 사용되었다. 악성 행위 뿐만 아니라 코드 역시 유사한 방식으로 작성되어 있어 kakaoTest.exe 역시 동일한 공격 그룹에서 제작한 파일로 추정된다.
Pagefile.sys 파일은 사용자 PC에서 정보를 수집하여 특정 메일로 전송하는 행위를 수행하며, 메일 전송 기능을 수행하는 코드와 최근 확인된 kakaoTest.exe 파일의 코드는 아래와 같이 유사한 형태로 이루어져있다.
또한, 두 파일 모두 아래의 코드를 포함하고 있으며, 메일 전송 기능 뿐만 아니라 Daum 메일의 여러 URL에 접속하여 로그인 한 계정의 주소록 등의 추가 정보를 확인한다.
kakaoTest.exe 파일의 경우 파일명과 참조하는 파일의 이름으로 보아 테스트 용도로 제작된 것으로 추정된다. 하지만 파일의 기능은 기존 APT 공격에 사용된 악성 파일에서 사용되었으며, 공격자가 이와 같은 행위를 수행하는 파일을 꾸준히 제작하고 있음을 알 수 있다.
이처럼 Daum 메일 로그인을 활용한 악성코드를 제작 및 유포하는 공격 그룹은 여전히 다양한 방식으로 악성코드를 생성하고 있는 것으로 확인되어 사용자의 각별한 주의가 필요하다.
현재 V3에서는 해당 악성코드를 다음과 같은 진단명으로 진단하고 있다.
[파일 진단]
- Trojan/Win.Kimsuky
[IOC 정보]
- b162316082b1bd74a250c70b206ff015
- 47ce2cf998e4af580b9d0acccf7d2207
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보