대북관련 원고 요구사항을 가장한 APT 공격시도 (Kimsuky)

ASEC 분석팀은 최근 대학원 교수를 대상으로 대북관련 원고 요구사항을 가장한 악성 워드(DOC) 문서를 유포한 정황을 확인하였다. 해당 워드 문서는 다음 이름으로 유포되었으며 문서 제목에서 언급된 카이마(KIMA)는 한국군사문제연구원에서 발행하는 안보, 국방, 군사 분야 전문 월간지 이름이다.

  • 3월 월간 카이마 원고_요구사항.doc

공격자는 특정 대학에 소속된 교수를 대상으로 스피어 피싱 공격을 수행하였다. 악성 워드 문서의 매크로 기능 및 전체적인 동작 방식은 [그림 1]과 같으며 공격자 서버로 부터 추가 명령(VBS(Visual Basic Script) 스크립트)을 다운로드하여 메모리상에서 이를 실행한다.

[그림 1] 문서의 공격 흐름도

실행된 VBS 코드가 공격자 C&C 서버와 통신하는 방식은 기존 ASEC 블로그(특정 논문의 악성 워드 문서를 이용한 APT 공격)를 통해 소개한 내용과 유사하다.

[그림 2] 3월 월간 카이마 원고_요구사항.doc 매크로 코드 일부

분석 당시 확보된 공격자 서버에서 다운로드된 VBS 코드는 사용자 PC에서 다음과 같은 정보들을 수집 및 유출한다.

[그림 3] 공격자 서버로부터 다운로드된 VBS 코드 일부
  • 기본적인 시스템 정보 수집 (컴퓨터 이름, 소유자 정보, 제조사, 컴퓨터모델, 시스템 타입)
  • 운영체제 정보 (운영체제, OS 버전, 메모리 용량)
  • 프로세서 정보
  • 안티 바이러스 제품 정보
  • 실행 중인 프로세스 정보
  • 특정 폴더 내 파일 리스트 정보 (데스크톱 경로, 내 문서 경로, Favorites 폴더 경로, Recent 폴더 경로, ProgramFiles 경로, Downloads 경로)
  • 최근 열어본 워드 문서 제목

이외에도 스크립트는 사용자 PC “%AppData%\Microsoft\Templates” 경로에 OfficeAppManifest_[분]_[시]_[일]_[월].ini” 라는 이름으로 VBS 파일을 생성한다. 이후 Microsoft로 위장한 서비스로 해당 스크립트를 실행하는 서비스를 등록한다. 이는 스크립트 실행 지속성을 위한 것으로 추정된다. 등록된 서비스는 최초 실행된 워드 매크로 기능과 유사한 방식으로써 공격자 서버 명령을 대기한다.

[그림 4] OfficeAppManifest_[분]_[시]_[일]_[월].ini
  • “OfficeAppManifest_v[분]_[시]_[일]_[월].ini” // 분, 시, 일, 월은 다운로드된 스크립트가 최초 실행된 시간

이러한 문서형 APT 공격 방식은 작년 한해 동안 자사 ASD(AhnLab Smart Defense) 인프라에서 가장 많이 확인된 유형이다. 뿐만 아니라 분석팀에서는 “2021년 Kimsuky 공격 워드(word) 문서 사례 총 정리 분석 보고서“를 안랩 TIP에 공개하였으며 해당 보고서를 통해서 이번 글에서 소개한 유형과 함께 총 7가지 유포 방식을 확인할 수 있다.

안랩 제품에서는 다음과 같이 해당 악성코드를 진단하고있다.

[IOC 및 진단명(엔진버전)]
[MD5]
– 89ea8dff2ed6380b756640bc5ba7e7d0 (Downloader/DOC.Kimsuky (2022.02.10.03))
(3월 월간 카이마 원고_요구사항.doc)
– 4cb18d33a729eeea494238dcc1bdb278 (Downloader/VBS.Agent (2022.02.11.00))
(공격자 서버로부터 다운로드된 VBS 코드)
– 54a11842db77475f2aaab5b2dc8a9319
(OfficeAppManifest_v[분]_[시]_[일]_[월].ini)

[공격자 C&C]
– http[:]//thdde.scienceontheweb[.]net/accout/list.php?query=1 (DOC 매크로가 접속하는 C&C 서버 주소)
– http[:]//thdde.scienceontheweb[.]net/accout/list.php?query=6 (VBS 코드가 접속하는 C&C 서버 주소)

이 이미지는 대체 속성이 비어있습니다. 그 파일 이름은 ASEC_Blog_bn_800x300.png입니다

Categories:악성코드 정보

Tagged as:,

5 1 vote
별점 주기
guest
2 댓글
Inline Feedbacks
View all comments
trackback

[…] 형태의 실행 인자 구동방식은 과거 해당 공격 그룹이 사용했던 방식과 일치한다. 과거 사례에서는 VBS 코드로 이루어진 version.ini가 실행되면 […]

trackback

[…] 연결 성공 시 해당 페이지에 존재하는 스크립트가 실행되며 이는 <대북관련 원고 요구사항을 가장한 APT 공격시도 (Kimsuky) > 에서 확인된 VBS 코드와 유사한 유형인 것으로 […]