Kimsuky

MS Office 정상 URL 위장하여 유포중인 워드문서

최근 워드 문서로 위장한 악성코드가 특정 경로(ex. 카카오톡 단체대화방)를 중심으로 유포되는 이슈가 공유된 바 있다. ASEC 분석팀은 추가 모니터링 과정에서, 유사 워드문서에 사용된 URL이 정상 URL과 유사성 측면에서 매우 교묘해지는 정황을 확인하여 사용자들에게 주의를 당부하고자 한다. 내부적으로 현재까지 확인된 악성 워드문서의 파일명은 다음과 같다.파일명에서 확인되는 내국인의 실명은 삭제처리(○○○)하였는데, 외교안보 분야의 전문가인 점과 파일명도 대북/대중/설문지/외교안보와 관련된 특징이 있었다. 위의 파일들은 모두 OOXML(Office Open XML) 포맷을 가진 워드문서이며 Template Injetion 기능을 공격에 활용하였는데, 아래의 XML코드는 특정 워드 파일 내부에 존재하는 settings.xml.rels 파일을…

뉴스 설문지로 위장하여 유포 중인 악성 워드 문서

 ASEC 분석팀은 ‘대북 관련 특정인을 타겟으로 하는 악성 워드 문서’에서 확인된 워드 문서 유형이 최근 FTP를 이용하여 사용자 정보를 유출하는 것을 확인하였다. 확인된 워드 문서의 파일명은 ‘CNA[Q].doc’ 로 CNA 싱가포르 방송 인터뷰로 위장하였다. 문서에는 암호가 설정되어 있어 비밀번호와 함께 메일에 첨부되어 유포되는 것으로 추정된다. 확인된 워드 문서는 이전과 유사하게 대북 관련 내용을 담고 있으며 악성 VBA 매크로가 포함되어 있다. 문서 열람 시 매크로 실행을 유도하는 이미지는 확인되지 않지만 내부에 포함된 매크로에 다음과 같은 코드가 존재한다. 이로 인해 사용자가 타이핑 시…

원자력 발전소 관련 기업 대상으로 AppleSeed 유포

ASEC 분석팀은 최근 원자력 발전소 관련 기업 대상으로 AppleSeed 악성코드를 유포하는 정황을 확인하였다. AppleSeed는 북한 관련 조직 중 하나인 Kimsuky 에서 사용하는 백도어 악성코드로 여러 기업을 타겟으로 활발히 유포하고 있다. 이번에 ASEC 분석팀에서 확인된 AppleSeed 드롭퍼 파일명은 아래와 같으며, 사용자를 속이기 위하여 이중 확장자를 사용하였다. 파일을 실행하면 내부에 있는 인코딩 데이터를 디코딩하여 아래 경로에 파일이 각각 생성된다. 파일로 출력된 엑셀 파일을 자동으로 실행시켜 사용자가 정상적인 엑셀 문서를 열람한 것처럼 보이도록 하였다. 미끼 엑셀 파일의 본문은 아래와 같으며, 내용에 원자력 발전소…

RDP를 이용하는 공격 기법 및 사례 분석

개요 이전 블로그 “다양한 원격 제어 도구들을 악용하는 공격자들”[1] 에서는 공격자들이 감염 시스템에 대한 제어를 획득하기 위해 시스템 관리 목적으로 사용되는 다양한 원격 제어 도구들을 악용하는 사례들을 다루었다. 여기에서는 윈도우 운영체제에서 기본적으로 제공하는 RDP(Remote Desktop Protocol)을 이용하는 사례들을 다룬다. 실제 대부분의 공격에서는 RDP가 자주 사용되는데 이는 추가적인 설치 과정이 필요한 원격 제어 도구들에 비해 초기 침투 과정이나 측면 이동에 유용하기 때문이다. 윈도우 운영체제는 원격 데스크탑 서비스(Remote Desktop Services)라고 하는 서비스를 지원하기 때문에 추가적인 원격 제어 도구들을 설치하는 과정 없이 이를…

대북 관련 특정인을 타겟으로 하는 악성 워드 문서

ASEC 분석팀은 안보 및 대북 관련 특정인을 타겟으로 하는 악성 워드 문서가 지속적으로 유포되고 있음을 확인하였다. 유포가 확인된 워드 문서의 파일명에는 대북 관련 인물의 이름이 포함된 경우가 다수 존재하여 해당 분야를 타겟으로 공격이 이루어지는 것으로 추정된다. 최근 확인된 워드 문서의 파일명은 다음과 같다. 날짜 파일명 7/18 (작성양식)2022년 광복절 경축사 전문가 사전 의견수렴.doc 7/20 0511_통일부 *** 부장 회의록.doc 8/1 Asan Symposium 2022.doc 8/3 질문지(현** 연구위원님).doc 8/4 질문지(안** 총장님).doc 8/11 (기획)세션6. 경기도 “평화와 통일을 위한 사회적 대화” 추진방안.doc 8/16 질문지(정** 박사님).doc 8/17…