대북관련 원고 요구사항을 가장한 APT 공격시도 (Kimsuky)

ASEC 분석팀은 최근 대학원 교수를 대상으로 대북관련 원고 요구사항을 가장한 악성 워드(DOC) 문서를 유포한 정황을 확인하였다. 해당 워드 문서는 다음 이름으로 유포되었으며 문서 제목에서 언급된 카이마(KIMA)는 한국군사문제연구원에서 발행하는 안보, 국방, 군사 분야 전문 월간지 이름이다.

• 3월 월간 카이마 원고_요구사항.doc

공격자는 특정 대학에 소속된 교수를 대상으로 스피어 피싱 공격을 수행하였다. 악성 워드 문서의 매크로 기능 및 전체적인 동작 방식은 [그림 1]과 같으며 공격자 서버로 부터 추가 명령(VBS(Visual Basic Script) 스크립트)을 다운로드하여 메모리상에서 이를 실행한다.

[그림 1] 문서의 공격 흐름도

실행된 VBS 코드가 공격자 C&C 서버와 통신하는 방식은 기존 ASEC 블로그(특정 논문의 악성 워드 문서를 이용한 APT 공격)를 통해 소개한 내용과 유사하다.

특정 논문의 악성 워드 문서를 이용한 APT 공격 – ASEC BLOG

ASEC 분석팀은 지난 9월 특정 논문을 이용한 악성 워드 문서가 유포됨을 확인하였다. 확인된 파일은 “경영혁신이론으로 본 국방개혁의 방향.doc” 명으로 유포되고 있으며 내부에 악성 매크로가 포함되어있다. 내부 매크로 코드는 기존 공유되었던 아래의 파일들과 유사한 형태로 모두 동일한 공격자의 소행으로 추정된다. 사례비지급 의뢰서(양식).doc (6월 9일 ASEC블로그) [** 하계학술대회]_양력.doc (6월 30일 ASEC블로그) 경영혁신이론으로 본 국방개혁의 방향.doc (9/15) 2 중국의 대외정책과 미중관계 전망_정…

[그림 2] 3월 월간 카이마 원고_요구사항.doc 매크로 코드 일부

분석 당시 확보된 공격자 서버에서 다운로드된 VBS 코드는 사용자 PC에서 다음과 같은 정보들을 수집 및 유출한다.

[그림 3] 공격자 서버로부터 다운로드된 VBS 코드 일부

• 기본적인 시스템 정보 수집 (컴퓨터 이름, 소유자 정보, 제조사, 컴퓨터모델, 시스템 타입)
• 운영체제 정보 (운영체제, OS 버전, 메모리 용량)
• 프로세서 정보
• 안티 바이러스 제품 정보
• 실행 중인 프로세스 정보
• 특정 폴더 내 파일 리스트 정보 (데스크톱 경로, 내 문서 경로, Favorites 폴더 경로, Recent 폴더 경로, ProgramFiles 경로, Downloads 경로)
• 최근 열어본 워드 문서 제목

이외에도 스크립트는 사용자 PC “%AppData%\Microsoft\Templates” 경로에 “OfficeAppManifest_[분]_[시]_[일]_[월].ini” 라는 이름으로 VBS 파일을 생성한다. 이후 Microsoft로 위장한 서비스로 해당 스크립트를 실행하는 서비스를 등록한다. 이는 스크립트 실행 지속성을 위한 것으로 추정된다. 등록된 서비스는 최초 실행된 워드 매크로 기능과 유사한 방식으로써 공격자 서버 명령을 대기한다.

[그림 4] OfficeAppManifest_[분]_[시]_[일]_[월].ini

• “OfficeAppManifest_v[분]_[시]_[일]_[월].ini” // 분, 시, 일, 월은 다운로드된 스크립트가 최초 실행된 시간

이러한 문서형 APT 공격 방식은 작년 한해 동안 자사 ASD(AhnLab Smart Defense) 인프라에서 가장 많이 확인된 유형이다. 뿐만 아니라 분석팀에서는 “2021년 Kimsuky 공격 워드(word) 문서 사례 총 정리 분석 보고서“를 안랩 TIP에 공개하였으며 해당 보고서를 통해서 이번 글에서 소개한 유형과 함께 총 7가지 유포 방식을 확인할 수 있다.

안랩 제품에서는 다음과 같이 해당 악성코드를 진단하고있다.

[진단명(엔진버전)]
– Downloader/DOC.Kimsuky (2022.02.10.03)
(3월 월간 카이마 원고_요구사항.doc)
– Downloader/VBS.Agent (2022.02.11.00)
(공격자 서버로부터 다운로드된 VBS 코드)
– (OfficeAppManifest_v[분]_[시]_[일]_[월].ini)

 

MD5

4cb18d33a729eeea494238dcc1bdb278

89ea8dff2ed6380b756640bc5ba7e7d0

FQDN

thdde[.]scienceontheweb[.]net