Kimsuky

발주서, 품의서를 위장한 AppleSeed 유포

ASEC 분석팀은 최근들어 발주서, 품의서를 위장하여 AppleSeed 악성코드를 유포하는 정황을 포착하였다. AppleSeed는 Kimsuky 조직에서 주로 사용되는 백도어성 악성코드로 시스템에 상주하면서 공격자의 명령을 받아 악성행위를 수행한다. 최근에는 아래와 같은 파일명으로 악성코드 유포가 이루어지고 있다. 발주서-**-2022****-001-국세청5개지방세무서차단센서 추가 도입_***.jse 품의서(***과장님).jse JSE(JScript Encoded File) 파일은 자바 스크립트로 되어있으며, 실행하면 아래와 같이 AppleSeed 백도어 본체(DLL 파일)와 미끼 문서 파일인 발주서 PDF 파일이 %ProgramData% 경로에 드롭되며, [그림 2]와 같이 발주서 PDF 파일이 자동으로 실행된다. 그 후, regsvr32.exe를 이용하여 AppleSeed 백도어 본체 파일을 디코딩 후 실행(보라색 음영…

인터넷 공유기 설치파일 위장한 AppleSeed 유포

ASEC 분석팀은 지난 05월 26일 AppleSeed 악성코드가 공유기 펌웨어 인스톨러로 위장하여 유포되는 정황을 포착하였다. 지금까지 알려진 AppleSeed는 주로 정상 문서 파일이나 그림 파일을 위장하여 유포되었다. AppleSeed를 생성하는 드로퍼 악성코드는 JS(Java Script), VBS(Visual Basic Script)와 같은 스크립트 포맷이 사용되거나 실행 파일 형태도 문서 파일을 위장한 pif 확장자를 가졌지만, 이번 사례에서는 다음과 같이 설치 프로그램을 위장한 아이콘과 파일명이 사용되었다. 파일명 : firmware upgrade installer.exe EXE 실행 파일의 동작 방식은 사용자가 해당 파일을 실행시키면 아래와 같이 특정 공유기의 펌웨어 업그레이드 설치로 위장한 팝업창이…

다양한 주제의 보도자료를 사칭한 Kimsuky 공격시도

ASEC 분석팀은 보도자료로 위장한 악성코드가 유포되고 있음을 확인하였다. 해당 악성코드는 실행 시 정상 문서 파일을 로드하고 악성 URL로 접속을 시도한다. 연결 성공 시 해당 페이지에 존재하는 스크립트가 실행되며 이는 <대북관련 원고 요구사항을 가장한 APT 공격시도 (Kimsuky) > 에서 확인된 VBS 코드와 유사한 유형인 것으로 확인된다. 현재 확인된 파일은 다음과 같다. 북한의 코로나19 확진자 발생 인정과 향후 한반도 정세 전망 .docx.exe 1. 보도자료 (도내 청소년 대상, 찾아가는 드론 체험 교육 운영).hwp .exe 2. 보도자료 (제17회 입양의 날 기념식 3년만에 개최).hwp .exe 3.보도자료 (**디자인진흥원,…

북한 4.25 열병식 관련 내용의 악성 워드 문서 유포

ASEC 분석팀은 금일(04/29) 북한 열병식 관련 내용의 악성 워드 문서 유포 정황을 확인하였다. 유포자는 침해된 것으로 추정되는 국내 웹 서버에 악성 워드 문서를 업로드하였다. 웹 서버에는 악성 워드 문서 뿐만 아니라 공격자가 OLE 개체 첨부 형태나 EPS 취약점 방식의 악성 한글 문서 유포에 사용한 것으로 추정되는 정상 한글 문서 2건도 함께 업로드되어 있었다. – [분석자료] 4.25 열병식을 통해 본 북한의 핵무력 사용 입장과 군부 엘리트 변동의 함의.docm (악성 : data.zip 내부)– “하종대 채널 A 앵커 윤석열 캠프에 합류”.hwp (정상)– attach.hwp…

외교/안보 관련 내용의 워드문서 유포 중

ASEC 분석팀은 대북 관련 파일명으로 악성 워드 문서가 지속적으로 유포되고 있음을 확인하였다. 워드 문서에는 악성 VBA 매크로 코드가 포함되어 있으며 <대북 관련 본문 내용 악성 워드의 지속 유포 정황 확인>에서 소개한 문서 파일과 동일한 유형으로 확인된다. 최근 유포가 확인된 워드 문서의 파일명은 다음과 같다. 220426-북한의 외교정책과 우리의 대응방향(정**박사).doc (4/26) 북한의 외교정책과 우리의 대응방향.doc (4/26) 중국의 외교정책과 우리의 대응방향.doc (4/22) 보도자료-원코리아국제포럼 2022 -20220422.docm (4/23) [분석자료] 4.25 열병식을 통해 본 북한의 핵무력 사용 입장과 군부 엘리트 변동의 함의.docm (4/26) 확인된 매크로 코드에는…