APT

PDF 문서로 위장하여 유포되는 VBS 스크립트 (Kimsuky)

ASEC 분석팀은 금일(03/23) Kimsuky 조직으로 추정되는 공격 그룹이 국내 특정 기업을 대상으로 APT 공격을 수행하고 있음을 확인하였다. VBS 확장자의 스크립트 파일을 실행 시, 내부에 존재하는 정상 PDF 파일을 실행하여 마치 정상 문서를 열람한 것처럼 속이고, 악성 DLL 파일을 통해 정보유출 기능을 수행하게 된다. 공격 대상은 PDF 문서 내용을 볼 때, 정밀 가공 전문기업으로 추정되며, PDF 문서의 내용은 다음과 같다. 파일명: 접수증-중소기업기술혁신개발사업_시장확대형_녹색전환_S???????.pdf.vbs 이번 공격을 Kimsuky 조직 소행으로 판단한 근거는 다음과 같다. 기존 AppleSeed 악성코드와 유사하게 regsvr32.exe를 통해 실행 Kimsuky 조직에서 사용하는…

코인관련 내용의 워드문서를 이용한 APT 공격 (Kimsuky)

ASEC 분석팀은 3월 21일 Kimsuky 그룹이 코인관련 내용의 워드문서로 APT 공격을 수행중인 것을 확인하였다. 공격에 사용된 미끼 문서는 총 3건이 확인되었으며 매크로 제작자 및 동작방식은 지난 3월 14일에 ASEC 블로그에 게시한 내용(제목: 제품소개서로 위장한 악성 워드 문서)과 동일하다. 3건 모두 정상적으로 작성된 워드문서를 바탕으로 악의적 매크로 코드를 추가하여 배포한 것으로 추정되며, 내용은 모두 가상화폐와 관련되어있어 코인업체를 타겟으로 한 공격으로 추정된다. 문서를 수정한 사람은 Acer 이름으로 동일하며, 모두 3월 21일 오전에 수정되어 최근 공격에 이용될 가능성이 높아 각별한 주의가 요구된다. 주주물량관련.doc…

탄소배출 전문기업 타겟 워드문서 공격

ASEC 분석팀은 03월 18일 탄소배출 전문기업을 대상으로 문서형 APT 공격을 수행하는 정황을 포착하였다. 자사 ASD(AhnLab Smart Defense)에 수집된 로그에 따르면 피해 PC는 “ㅇㅇ ㅇㅇ 탄소 배출권 전문 연구소.doc”라는 악성 워드 문서를 웹 브라우저를 통해 다운로드한 것으로 추정된다. 악성 문서는 확보하지 못했지만 내부 매크로 코드에 의해 wscript.exe가 실행되는 구조로 추정된다. 확인된 wscript.exe 실행 인자는 다음과 같다. wscript.exe %AppData%\Microsoft\Templates\version.ini 이러한 형태의 실행 인자 구동방식은 과거 해당 공격 그룹이 사용했던 방식과 일치한다. 과거 사례에서는 VBS 코드로 이루어진 version.ini가 실행되면 감염 PC에 작업 스케줄러를…

대북관련 원고 요구사항을 가장한 APT 공격시도 (Kimsuky)

ASEC 분석팀은 최근 대학원 교수를 대상으로 대북관련 원고 요구사항을 가장한 악성 워드(DOC) 문서를 유포한 정황을 확인하였다. 해당 워드 문서는 다음 이름으로 유포되었으며 문서 제목에서 언급된 카이마(KIMA)는 한국군사문제연구원에서 발행하는 안보, 국방, 군사 분야 전문 월간지 이름이다. 3월 월간 카이마 원고_요구사항.doc 공격자는 특정 대학에 소속된 교수를 대상으로 스피어 피싱 공격을 수행하였다. 악성 워드 문서의 매크로 기능 및 전체적인 동작 방식은 [그림 1]과 같으며 공격자 서버로 부터 추가 명령(VBS(Visual Basic Script) 스크립트)을 다운로드하여 메모리상에서 이를 실행한다. 실행된 VBS 코드가 공격자 C&C 서버와 통신하는…

워드문서 이용한 APT 공격 시도 (External 연결 + VBA 매크로)

ASEC 분석팀은 최근 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인 정황을 확인하였다. 메일 제목 및 본문은 아래와 같이 되어있으며, 첨부파일인 압축 파일 내부에는 워드 문서가 포함되어 있다. 파일명 : 사내 금융업무 상세내역.docx 워드문서를 실행하면 아래와 같은 내용이 사용자에게 보여지고, 백그라운드에서는 External URL을 이용하여 워드 매크로(dotm) 파일을 다운로드 받아 실행한다. URL : hxxp://ms-work.com-info.store/dms/0203.dotm 다운로드된 “0203.dotm” 이름의 워드 매크로 파일에는 아래와 같은 매크로가 작성되어 있으며, 기존 워드 파일의 사용자 지정 속성에 있는 값들을 이용하여 같은 경로…