PDF 문서로 위장하여 유포되는 VBS 스크립트 (Kimsuky)

ASEC 분석팀은 금일(03/23) Kimsuky 조직으로 추정되는 공격 그룹이 국내 특정 기업을 대상으로 APT 공격을 수행하고 있음을 확인하였다. VBS 확장자의 스크립트 파일을 실행 시, 내부에 존재하는 정상 PDF 파일을 실행하여 마치 정상 문서를 열람한 것처럼 속이고, 악성 DLL 파일을 통해 정보유출 기능을 수행하게 된다. 공격 대상은 PDF 문서 내용을 볼 때, 정밀 가공 전문기업으로 추정되며, PDF 문서의 내용은 다음과 같다.

  • 파일명: 접수증-중소기업기술혁신개발사업_시장확대형_녹색전환_S???????.pdf.vbs
[그림 1] 미끼 PDF 정상 문서

이번 공격을 Kimsuky 조직 소행으로 판단한 근거는 다음과 같다.

  • 기존 AppleSeed 악성코드와 유사하게 regsvr32.exe를 통해 실행
  • Kimsuky 조직에서 사용하는 것으로 알려진 kro.kr 도메인을 C&C로 활용
  • 공격자 명령 수신 시 tasklist, net user, systeminfo 등의 명령을 실행

특히 공격자는 사용자의 눈속임을 위해 확장자 앞에 “.pdf”를 추가하였다. 일반적인 사용자는 [그림 2]와 같이 “알려진 파일 형식의 파일 확장자명 숨기기”가 기본적으로 체크되어 있기 때문에 이 경우 VBS 파일이지만, PDF 파일로 착각할 수 있다. 결과적으로 사용자가 VBS를 실행하면 정상 PDF 문서 실행과 별개로 악성 행위가 실행된다.

[그림 2] 파일 확장자 숨김 기능

악성 VBS는 VBS가 실행된 경로에 정상 PDF 파일과 “C:\ProgramData” 경로에 BASE64로 인코딩된 DLL을 각각 생성 및 실행한다. 내부 코드에 의해 생성하는 DLL 파일명은 아래와 같이 랜덤하다.

  • %ALLUSERSPROFILE%\tewl8.aqdzkz
  • %ALLUSERSPROFILE%\ltbpq.brv5la
  • %ALLUSERSPROFILE%\ihjq6.xvcdkk

최종 실행된 악성 DLL은 cmd.exe 프로세스를 생성하여 C&C 서버와 파이프 통신을 대기한다. 대기 중에 확인된 공격자 명령은 다음과 같다.

  • systeminfo 명령
  • tasklist 명령
  • whoami 명령
  • net user 명령

안랩에서는 이러한 APT 공격에 대해 지속적으로 모니터링 및 대응중에 있으며 사용자는 [그림 2]와 같이 기본적으로 체크되어 있는 “알려진 파일 형식의 파일 확장명 숨기기” 기능을 비활성화하여 이러한 위장 기법에 속지않도록 주의해야한다.

현재 안랩 V3 제품은 해당 파일에 대해 다음과 같이 진단하고있다.

[IOC]

[MD5]
– 정상 PDF 문서 : b3c7df17420d48f61bbfcf2bac3ae4a3
– VBS 파일 : 64cbd6f435538175dc06ea4b84cba46d
– 최종 실행 DLL(백도어) : 856072827cec7b74ead3ce40e55bd8d1
– VBS에 의해 생성된 DLL : 3ea9b50289aecccc7ffd04fa814c1a5c

[진단명(엔진버전)]
– VBS 파일 : Dropper/VBS.Akdoor (2022.03.24.00)
– 최종 실행 DLL(백도어) : Trojan/Win.Kimsuky.C5025515 (2022.03.24.00)
– VBS에 의해 생성된 DLL : Trojan/Win.Kimsuky.C5025516 (2022.03.24.00)

[C&C]
– hxxps://regular.winupdate.kro.kr/index.php

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,

5 2 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments