한글 문서 파일을 위장한 악성코드(Kimsuky)

AhnLab Security Emergency response Center(ASEC)에서는 CHM, OneNote 등의 파일 형식으로 유포되던 악성코드가 최근 실행 파일 형식으로 유포되는 것을 확인하였다. 악성코드에서 사용된 단어 및 실행되는 스크립트 코드가 이전에 분석한 코드와 유사한 것으로 보아 동일한 공격 그룹(Kimsuky)에서 제작한 것으로 추정된다.

• Kimsuky 그룹 유포 악성코드 분석 보고서 – 2022.10.20
• 사례비 지급 내용으로 위장한 OneNote 악성코드 (Kimsuky) – 2023.03.20
• 대북 관련 질문지를 위장한 CHM 악성코드 (Kimsuky) – 2023.03.08
• 다양한 주제의 보도자료를 사칭한 Kimsuky 공격시도 – 2022.05.18
• 대북관련 원고 요구사항을 가장한 APT 공격시도 (Kimsuky) – 2022.02.14

확인된 악성코드는 압축파일 형태로 유포되며 내부에 readme.txt와 함께 한글 문서 확장자로 위장한 실행 파일이 존재한다.

readme.txt 파일에는 아래와 같이 악성 EXE 파일(개인정보유출내역.hwp.exe)의 실행을 유도하는 문구가 포함되어 있다. 악성 EXE 파일은 닷넷(.NET)으로 컴파일되었으며 한글 문서 아이콘을 사용하여 문서 파일처럼 보이도록 위장하였다. 또한, 확장자가 제대로 보이지 않도록 파일명에 공백을 다수 삽입하였다.

위 EXE 파일 내부에는 Base64로 인코딩된 파워쉘 명령어가 존재한다. 따라서 파일 실행 시 이를 디코딩하여 %APPDATA% 폴더에 update.vbs 파일로 저장하고 파워쉘을 통해 생성한 update.vbs 파일을 실행한다.

이후 아래와 같이 메시지 박스를 생성하여 사용자로 하여금 악성 행위가 수행되는 것을 알아차리기 어렵게 한다. 메시지 내용에는 아래와 [그림4]와 같이 북한어(‘오유(오류)’, ‘되였습니다(되었습니다)’)를 사용하고 있음을 알 수 있다.

생성된 update.vbs 파일에는 난독화된 명령어가 존재한다. 이를 디코딩하면 hxxp://well-story.co[.]kr/adm/inc/js/list.php?query=1 에서 추가 스크립트를 다운로드 및 실행하는 코드가 확인된다.

위 URL에 존재하는 스크립트 뿐만 아니라 이후 실행되는 스크립트는 모두 <Kimsuky 그룹 유포 악성코드 분석 보고서>에서 확인된 내용과 동일하게 사용자 정보 유출, 키로깅 등의 기능을 수행한다. 확인된 URL 및 생성되는 파일의 기능은 아래와 같다.

표 1. 특정 URL에서 확인되는 스크립트와 생성되는 파일의 기능

이때 수집되는 정보 역시 위 보고서에 작성된 내용과 동일하다.

해당 유형의 악성코드에 대한 유포가 지속적으로 확인되고 있는 만큼 사용자의 각별한 주의가 필요하다. 사용자는 메일의 첨부파일 실행 시 확장자를 반드시 확인하고 알 수 없는 사용자로부터 공유 받은 파일의 실행을 자제해야한다.

[파일 진단]

Dropper/Win.Agent.C5441936 (2023.06.16.02)
Trojan/VBS.Kimsuky (2023.03.21.03)
Trojan/PowerShell.Obfuscated (2023.03.14.00)
Trojan/PowerShell.KeyLogger (2023.05.09.00)

[행위 진단]
Execution/MDP.Powershell.M4646
Execution/MDP.Powershell.M11164(MDS)
Execution/EDR.Powershell.M11156(EDR)

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.