울진 산불 피해 기부 영수증으로 위장한 워드 문서 APT 공격 (Kimsuky)

지난 3월 초 울진, 삼척 일대에 큰 산불이 발생하여 피해 복구 및 이재민을 돕기 위해 전국 각지에서 기부 행렬이 이어졌다. 이러한 상황에서 ASEC 분석팀은 공격자가 울진 산불 피해 기부 영수증 워드문서로 위장해 APT 공격을 시도하는 것을 포착하였다.

[그림 1] 기부금 영수증(ㅇㅇㅇ).doc

해당 문서의 작성 일시는 3월 28일이며 제작자는 기존 ASEC 블로그를 통해 공개한 제작자 이름(Acer)과 일치한다.

[그림 2] 기부금 영수증(ㅇㅇㅇ).doc 파일 정보

공격 기법과 생성되는 파일의 기능은 기존 블로그 내용과 동일하나, 이번 공격에서의 차이점은 매크로 실행 시 생성되는 배치 파일명이 다르다. 해당 배치파일은 moster.bat으로 유포되었으며 기능은 이전 블로그의 “error.bat”과 일치한다.

  • C:\Users\Public\Documents\moster.bat -> start.vbs 파일 레지스트리 RUN키 등록, no4.bat 파일 실행, 추가 파일 다운로드
    • hxxp://nomonth-man.com/dfg04/%COMPUTERNAME%.txt (추가 파일 다운로드 주소)

공격자는 현재 대북 관계자 및 가상자산 관계자 뿐만 아니라 공격 대상을 다양하게 넓혀가고 있는 것으로 보인다. 사용자는 출처가 불분명한 사이트나 이메일로부터 첨부 파일을 다운로드하는 것을 주의 해야 하며, 특히 워드(Word)문서를 실행할 때 매크로 허용 버튼 유도하는 문구나 그림이 있다면 악성 매크로가 실행될 수 있으므로 각별히 유의해야 한다.

현재 안랩 V3 제품에서는 공격과 관련된 파일들에 대해 다음과 같은 탐지명으로 진단하고 있다.

[IOC]
[MD5]

– no1.bat : a0fddb12d7b3c445fdb7ab602a5bf5fb
– download.vbs : 85165e07b9f198a5e4047756eb779b46
– temp.doc : f248401769bbcd0ebeff992ef3cfe678
– moster.bat : 07232fe7144b0286eb5c9882834eea96
– no4.bat : 0b41f93365ec443406df942914317ec7
– start.vbs : 050e663bf6c97a953e25eb7e9754d656
– upload.vbs : a40eaa73ccffe4bc2233bdfd84fe2d62

[진단명(엔진버전)]
– no1.bat : Trojan/BAT.Runner (2022.03.30.00)
– download.vbs : Downloader/VBS.Generic (2022.03.30.00)
– temp.doc : Trojan/DOC.Agent (2022.03.30.01)
– moster.bat : Trojan/VBS.Akdoor (2022.03.30.00)
– no4.bat : Trojan/VBS.Akdoor (2022.03.30.00)
– start.vbs : Trojan/VBS.Runner (2022.03.30.00)
– upload.vbs : Trojan/VBS.Akdoor (2022.03.30.00)

[C&C]
– hxxp://nomonth-man.com/uio04/upload.php

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.


Categories:악성코드 정보

Tagged as:,

5 1 vote
별점 주기
guest
1 댓글
Inline Feedbacks
View all comments
Mohemmed jobran
6 months ago

772234449