북한

Kimsuky 그룹, ADS를 활용하여 악성코드 은폐

AhnLab Security Emergency response Center(ASEC)에서는 Kimsuky 그룹이 악성코드를 은폐하는데 ADS(Alternate Data Stream)를 활용하는 것을 확인했다. 해당 악성코드는 HTML 파일 내부에 포함된 VBScript를 시작으로 정보를 수집하는 Infostealer 유형이며 수많은 더미 코드 사이에 실제 코드가 포함된 것이 특징이다.     터미널에서 아래와 같은 명령어를 실행하여 정보를 수집하고 전송한다.   hostname systeminfo net user query user route print ipconfig /all arp -a netstat -ano tasklist tasklist /svc cmd.exe” /c dir “C:\Program Files“ cmd.exe” /c dir “C:\Program Files (x86)” cmd.exe” /c dir “C:\ProgramData\Microsoft\Windows\Start Menu\Programs” cmd.exe” /c dir “C:\Users\Unknown\AppData\Roaming\Microsoft\Windows\Recent”…

Kimsuky 그룹, 약력 양식 파일로 위장한 악성코드 유포 (GitHub)

AhnLab Security Emergency response Center(ASEC)에서는 특정 교수를 사칭하여 약력 양식 내용으로 위장한 워드 문서를 이메일을 통해 유포한 것을 확인했다. 확인된 워드 문서의 파일명은 ‘[붙임] 약력 양식.doc’이며 문서에는 암호가 설정되어 있는데 이메일 본문에 비밀번호가 포함되어 있다.       워드 문서 내에 악성 VBA 매크로가 포함되어 있으며 매크로 활성화 시 PowerShell을 통해  C2에 접속하여 추가 스크립트를 다운로드 및 실행한다.   최종적으로 실행되는 악성코드 유형은 뉴스 설문지로 위장하여 유포 중인 악성 워드 문서에서 확인된 유형과 일치하며 브라우저에 저장된 정보를 수집한다.   하지만,…

“「2021 평화∙통일 이야기 공모전」 참가 신청서” 제목의 한글문서 유포 (APT 추정)

ASEC분석팀은 특정 지자체의 문서를 위조한 한글 악성코드가 유포 중인 것을 확인했다. 해당 문서는 아래 [그림 1]과 같이 평화∙통일을 주제로 하고 있다. 문서 실행 시 내부 악성 OLE 개체에 의해 악성코드가 특정 경로에 생성되며 사용자가 문서를 클릭할 경우 실행된다. 해당 악성 문서에 대한 정보는 다음 [그림2]와 같다. 악성 문서는 다음 [그림 3]과 같이 악성 OLE 개체를 포함하고 있으며, 문서가 실행되면 OLE 개체 내부의 PE 파일(.exe) 악성코드가 특정 경로에 생성된다. 악성코드를 생성되는 경로는 다음과 같다. C:\Users[사용자명]\AppData\Local\Temp\HncApp.exe 생성된 파일을 실행시키기 위해 제작자는 문서…

북핵 관련 문서파일로 위장한 악성코드

 최근 북한과의 군사적 긴장 관계를 악용하는 악성코드가 발견되었다. 현재 남한과 북한은 개성공단 폐쇄 및 북한의 미사일 발사 위협 등으로 인해 군사적 위기감이 상당히 높은 상황이다. 이러한 분위기 때문에 실제로 파일을 실행하여 감염되는 사용자가 많을 것으로 보이므로 사용자의 각별한 주의가 요구되는 상황이다. [그림 1] MS워드 파일로 위장한 악성코드 특히 이번에 발견된 악성코드는 위와 같이 ‘차북핵 한국대응조치 결과가 나왔어요.exe’ 라는 파일명을 사용하고 있다. 그러나 MS워드 문서 파일 형식의 아이콘을 그대로 사용하고 있지만, 실제 파일 형식은 exe 실행 파일이다. 악성코드는 RAR 실행압축 파일로 제작되어 있으며, 해당 파일을 실행하면 12.hwp 한글 문서 파일과 다수의 PE 파일을 생성하는데 그 목록은 다음과 같다. <악성코드 실행 시 생성되는 PE파일 목록> C:DOCUME~1ADMINI~1LOCALS~1Tempgm.exe     C:WINDOWSsystem32SVKP.sys     C:Documents and SettingsAll UsersSysEVrc.hlp     C:Documents and SettingsAll UsersSysEVrc.exe     C:Documents and SettingsAll UsersSysEVrcdll.dll     해당 악성코드를 실행하면…

‘3.20 사이버 테러’ 관련 일부 보도의 사실과 다른 부분을 바로잡고자 합니다.

 최근 특정 방송사 및 일부 언론에서 보도한 ‘3.20 사이버 테러’와 관련하여 사실과 다른 부분이 많아 이를 바로잡고자 합니다. 특히 대중의 이해를 돕기 위해 쉽고 단순화하여 보도하는 과정에서 전문적 내용이 너무 포괄적으로 표현되었습니다. 이런 이유로 방송/금융 등 6개사에 대한 사이버 테러는 각기 다른 경로로 이루어졌음에도 모두 안랩의 책임인 것으로 보도되어 많은 오해를 낳고 있습니다. 이에 안랩은 보안 업계 1위 기업으로서 보안에 대한 불필요한 오해를 풀고 보안업계에 대한 정확한 사실을 알릴 필요가 있다고 판단해 아래와 같이 밝힙니다.   ‘3.20 사이버 테러’에는 안랩의 백신이 이용되지 않았습니다. 보도에는 ‘북한 해커들이 이용한 침투 통로는 백신 프로그램’이라거나 ‘북한이 백신 프로그램을 역이용한 것’이라고 표현했습니다. 또한 ‘사이버 테러에서 악성코드를 실어나른 것이 백신 프로그램’이라거나 ‘백신 프로그램을 변조’ 등의 표현도 있습니다. 그러나 이는 안랩에 해당되지 않는 내용입니다.  ‘3.20 사이버 테러’를 당한 6개사가 모두 안랩 제품을 사용하는 것은 아니며, 더구나 백신 프로그램의 변조는 안랩의 경우가 아닙니다.  안랩의 자산 및 중앙 관리서버(AhnLab Policy Center, APC)는 백신이 아닙니다….