논문파일을 위장한 악성코드 유포 주의 (Kimsuky 그룹)
최근 AhnLab SEcurity intelligence Center(ASEC)은 Kimsuky 그룹이 교수를 대상으로 논문 심사 요청을 가장한 피싱 메일 공격 정황을 확인하였다. 메일에 악성 OLE 개체가 삽입된 한글 문서 파일을 첨부하여 파일 실행을 유도했다. 해당 문서에는 비밀번호가 설정되어 있어, 메일 본문에 포함된 비밀번호를 입력해야 열람할 수 있으며, 문서를 열면 %TEMP%(임시 폴더) 경로에 6개의 파일이
2023년 12월 Kimsuky 그룹 동향 보고서
개요 2023년 12월에 확인된 Kimsuky 그룹의 활동은 지난 11월에 비해 전체적으로 활동량은 조금 감소하였으나 피싱(ETC) 도메인이 이전보다 3배 가까이 증가했으며 그 외에는 소폭 감소하였다. 공격 통계 지난 11월과 비교했을 때 FQDN이 39개로 소폭 감소했으며 그중에 피싱(ETC)이 29개로 가장 많이 발견되었다. 그 외에는 FlowerPower 1개, RandomQuery 2개, AppleSeed
Kimsuky 그룹, ADS를 활용하여 악성코드 은폐
AhnLab Security Emergency response Center(ASEC)에서는 Kimsuky 그룹이 악성코드를 은폐하는데 ADS(Alternate Data Stream)를 활용하는 것을 확인했다. 해당 악성코드는 HTML 파일 내부에 포함된 VBScript를 시작으로 정보를 수집하는 Infostealer 유형이며 수많은 더미 코드 사이에 실제 코드가 포함된 것이 특징이다. 터미널에서 아래와 같은 명령어를 실행하여 정보를 수집하고 전송한다. hostname systeminfo net user
Kimsuky 그룹, 약력 양식 파일로 위장한 악성코드 유포 (GitHub)
AhnLab Security Emergency response Center(ASEC)에서는 특정 교수를 사칭하여 약력 양식 내용으로 위장한 워드 문서를 이메일을 통해 유포한 것을 확인했다. 확인된 워드 문서의 파일명은 ‘[붙임] 약력 양식.doc’이며 문서에는 암호가 설정되어 있는데 이메일 본문에 비밀번호가 포함되어 있다. 워드 문서 내에 악성 VBA 매크로가 포함되어 있으며 매크로 활성화 시 PowerShell을
“「2021 평화∙통일 이야기 공모전」 참가 신청서” 제목의 한글문서 유포 (APT 추정)
ASEC분석팀은 특정 지자체의 문서를 위조한 한글 악성코드가 유포 중인 것을 확인했다. 해당 문서는 아래 [그림 1]과 같이 평화∙통일을 주제로 하고 있다. 문서 실행 시 내부 악성 OLE 개체에 의해 악성코드가 특정 경로에 생성되며 사용자가 문서를 클릭할 경우 실행된다. [그림1] 악성 문서 내용 해당 악성 문서에 대한 정보는 다음 [그림2]와 같다.
