Kimsuky

kakaoTest.exe 파일명의 Kimsuky 제작 추정 악성코드

최근 ASEC 분석팀은 워드 문서를 이용하여 APT 공격을 시도하는 악성코드 동향을 지속적으로 파악하며 관련 내용을 공유하고 있다. 이번에는 이전 게시글의 Kimsuky 그룹이 제작 유포했던 ‘제헌절 국제학술포럼.doc’, ‘제28차 남북관계전문가토론회***.doc’ 등의 문서 파일로부터 생성된 악성코드와 동일한 코드를 사용한 악성 파일을 추가 확인하여 공유하고자 한다. 해당 파일은 테스트 단계의 파일로 보이며 Kimsuky 그룹이 유사 악성코드를 제작하며 테스트 중인 것으로 추정된다. kakaoTest.exe라는 파일명으로 제작된 해당 파일은 아래와 같이 test.ini 파일에서 다양한 정보를 읽어와 Daum에 로그인하는 기능을 수행한다. ini파일에 작성되어 있을 것으로 보이는 user명과 password로…

메타스플로잇 미터프리터를 이용한 공격 사례

메타스플로잇(Metasploit)은 침투 테스트 목적의 프레임워크이다. 기업이나 기관의 네트워크 및 시스템에 대한 보안 취약점을 점검하기 위한 목적으로 사용 가능한 도구로서 침투 테스트 단계별로 다양한 기능들을 지원한다. 메타스플로잇은 코발트 스트라이크처럼 최초 감염을 위한 다양한 형태의 페이로드 생성부터 계정 정보 탈취, 내부망 이동을 거쳐 시스템 장악까지 단계별로 필요한 기능들을 제공한다. 코발트 스트라이크는 상용 프로그램이지만 크랙 버전이 유출되어 공격자들에 의해 자주 사용되고 있으며, 메타스플로잇은 기본적으로 공개된 오픈 소스임에 따라 손쉽게 사용이 가능하다. 여기에서는 메타스플로잇 미터프리터가 공격에 사용된 실제 사례를 다룬다. 메타스플로잇 미터프리터 코발트 스트라이크는…

북한 연관 그룹 추정 PDF 문서를 이용한 APT 공격

PDF 문서를 이용한 북한 연관 그룹 소행으로 추정되는 타깃형 공격이 확인되었다. 공격 그룹은 김수키(Kimsuky) 혹은 탈륨(Thallium)으로 추정되지만, 이를 모방한 공격 그룹의 소행일 가능성도 있다. 관련 내용은 이미 언론에 보도된 내용이지만, 본 블로그에서는 공개되지 않은 IOC와 취약점 발현 환경 등의 분석 정보를 추가로 공개한다. 공격자는 PDF 문서 파일을 공격 미끼로 이용하였다. Adobe Acrobat 프로그램 취약점을 통해 PDF 문서에 포함되어 있는 악성 JavaScript를 실행하고, 시스템 메모리에 악성 EXE 파일 – 파일 번호 [2], [4]을 실행한다. Use-After-Free 취약점 CVE-2020-9715 을 이용한 것으로 보고…

메신저 프로그램으로 위장한 악성코드 주의

안랩에서는 최근 특정 정부의 지원을 받는 해킹그룹의 공격 활동을 포착하여 이를 알아보고자 한다. 발견된 위장 프로그램은 정상 페이지로 위장한 피싱 페이지나 공급망 공격을 통해 유포된다. 피싱 페이지에 연결한 사용자가 각 페이지에서 다운로드 버튼을 클릭하면 메신저 설치 파일이 다운로드된다. 메신저 설치 파일의 디지털 서명 정보는 정상 파일과 달리 ‘Uclick’으로 적용되어 있다. 메신저 설치 파일은 다음과 같이 NSIS를 사용하여 제작된 윈도우 운영체제 설치 프로그램이다. NSIS(Nullsoft Scriptable Install System) 널소프트(Nullsoft)사가 제작한 프로그램으로 스크립트 기반의 윈도우 운영체제용 설치 프로그램을 제작할 수 있는 도구 표…

정상 문서 파일로 위장한 악성 코드 유포 (Kimsuky 그룹)

ASEC 분석팀은 지난 8월 20일부터 Kimsuky 그룹의 공격 정황을 다수 확인하였다. 파일명에 docx, pdf, txt 등 문서 확장자를 포함한 정상 파일로 위장하여 유포 중이며, 해당 악성코드는 정상 파일 드롭 및 실행, 감염 PC 정보 탈취, 추가 악성코드 다운로드를 수행한다. 해당 방식은 Kimsuky 그룹이 자주 사용하는 위장 방식과 동작 방식으로 국내 정부기관, 대학 교수 등을 대상으로 하는 APT 공격에 사용된다. 유포 파일명 유포 날짜 유포 파일명 2020/08/20 4.[아태연구]논문투고규정.docx.exe 2020/08/26 Button01_[2020 서울안보대화] 모시는 글.pdf.exe 2020/09/03 [양식] 개인정보이용동의서.txt.exe 해당 악성코드 유형은 리소스 영역에…