2024년 MSC 악성코드 동향 보고서
MSOffice 문서형 악성코드의 유포가 줄어들면서 LNK, CHM 등 다양한 포맷의 악성코드가 대두되고 있다. 올해 2분기에는 Microsoft Management Console(MMC)에서 사용하는 MSC(snap-ins/Management Saved Console) 파일 포맷의 악성코드가 새로 확인되었다. MSC 파일은 XML 기반의 포맷으로, 스크립트 코드 및 커맨드 명령 실행 또는 프로그램 실행 등 다양한 작업을 등록하여 실행할 수 있다. 자사에서 확인된 MSC 포맷의 악성코드는 apds.dll에 존재하는 취약점(CVE-2024-43572)을 이용한 유형과 MMC Console Taskpad를 통해 커맨드 라인을 실행하는 유형이 있다.
2024년 10월까지 확인된 MSC 포맷 악성코드의 유포 현황은 다음과 같다.
※ 그래프의 값은 0에서 5 구간을 가지며, 수치가 높을수록 악성코드가 많이 배포되는 것으로 해석할 수 있다.
Figure 1. MSC 포맷 악성코드 유포 현황
공격자는 사용자가 악성코드를 의심없이 실행할 수 있도록 생소한 포맷의 악성코드를 유포하고 있는 것으로 보인다. 일반 사용자는 MSC 파일의 정확한 쓰임새나 동작 방식을 유추하기 어려울 뿐만 아니라, 더블 클릭 만으로도 손쉽게 실행될 수 있는 특징이 있어 유포가 지속될 것으로 예측된다.
- 유형1
해당 유형은 apds.dll에 존재하는 취약점(CVE-2024-43572)을 통해 악성 페이로드를 실행한다. 파일의 아이콘을 자유롭게 설정할 수 있기 때문에 정상 문서 파일로 위장하기위해 PDF 또는 워드 문서 아이콘으로 유포되는 사례가 다수 확인된다.
유포 파일의 아이콘과 파일명은 다음과 같다.
Figure 2. 확인된 MSC 파일 아이콘
|
파일명 |
번역된 파일명 |
| 일본 방위력 증강 및 방위산업 부활 시도(심사용).msc | – |
| readme(解压密码).msc | readme(암호해독코드).msc |
| 民意信箱滿意度調查表.msc | 의견 우편함 만족도 조사 양식.msc |
| 經濟部水利署第五河川分署水域污染詳細訊息.msc | 중화인민공화국 경제부 수자원부 제5강 지부의 수질 오염에 대한 상세 정보.msc |
Table 1. 확인된 파일명
- 유형2
해당 유형은 MMC의 Console Taskpad를 사용하여 커맨드 명령을 실행한다. [유형 1]과 마찬가지로 문서 파일이나 폴더 아이콘으로 위장하고 있다. Kimsuky 그룹에서 국내 사용자를 대상으로 해당 악성코드를 유포하는 것이 확인되었으며, 동작 과정에서 미끼 문서를 실행하는 특징이 있다.
유포 파일의 아이콘 및 실행화면과 파일명은 다음과 같다.
Figure 3. 확인된 MSC 파일 아이콘
Figure 4. MSC 파일 실행 화면
|
파일명 |
| [DOS] Jess Taylor’s Piece.msc |
| [DOS] Secure Document-Jess.msc |
| [WSJ] Interview Memo with Dr. Kyung*** Lee(202409).msc |
| [자문]북한 신형 자폭드론.msc |
| 0808-DWnews.msc |
| 240422 264-24 SOLO airfield surveys.msc |
| 240801_Narang_Conversation_Secretary.msc |
Table 2. 확인된 파일명
