[우리문화신문=이한영 기자] 안랩 ASEC 분석팀은 사이버 공격 조직 ‘김수키’(Kimsuky) 그룹의 소행으로 보이는 악성코드 유포 정황을 다수 확인했다. 김수키 그룹은 과거 국내 기관을 대상으로 한 공격의 유력한 배후로 잘 알려져 있다.
김수키 그룹이 유포한 것으로 추정되는 악성코드는 docx, pdf, txt 등 문서 확장자를 포함한 정상 파일로 위장해 배포되고 있다. 해당 악성코드는 감염된 컴퓨터에서 정상 문서 위장 파일 떨어뜨리기 및 실행, 정보 탈취, 추가 악성코드 등을 수행하며, 국내 정부기관, 대학교수 등을 대상으로 하는 APT 공격에 활용된다.
유포 파일 명(배포일)
- 4.[아태연구]논문투고규정.docx.exe (2020/08/20)
- Button01_[2020 서울안보대화] 모시는 글.pdf.exe (2020/08/26)
- [양식] 개인정보이용동의서.txt.exe (2020/09/03)
이 악성코드는 리소스 영역에 암호화된 데이터를 포함하고 있으며, 파일을 실행하면 암호가 해독된다. 파일을 TEMP 폴더에 떨어뜨린 뒤 실행하며, 해독한 데이터는 정상 문서 파일로 나타나 사용자가 악성 행위임을 인지하기 어렵다. 문서 파일의 정보와 내용은 아래와 같다.
문서 파일이 실행되면 ▲바탕화면 파일 & 폴더 ▲ 최근 문서 ▲Program Files 파일 & 폴더 등 사용자 컴퓨터 정보를 수집한다. 수집한 정보는 "C:Users[사용자명]AppDataRoamingMicrosoftHNC" 경로에 생성한 별도 docx 파일에 저장되어 공격자 서버로 전송된다.
이후에는 추가적인 악성 파일 내려받기를 감행한다. 해당 파일은 dll 형태로 백도어(시스템 보안이 제거된 비밀 통로) 유형 악성코드로 추정된다.
이번에 발견된 악성코드가 김수키 그룹의 소행으로 추정되는 까닭은 크게 두 가지다. 첫째로, 공격의 위장 및 동작 방식이 김수키 그룹이 자주 택하는 방식이다. 둘째, 악성코드들의 공격자 서버 (C2, 혹은 C&C)와 파일 내려받기 주소가 같으며, 해당 주소는 김수키 그룹이 과거부터 사용한 공격자 서버 주소와 비슷한 형태를 보인다.
현재 V3 제품에서는 관련 파일에 대하여 다음과 같이 진단하고 있다.
[파일 진단]
- Trojan/Win32.Agent (2020.08.29.00)
- Trojan/Win32.Kimsuky (2020.09.04.03)
[Hash]
adc39a303e9f77185758587875097bb6
1e9543ad3cefb87bc1d374e2c2d09546
이번 김수키 그룹 악성코드에 대한 자세한 분석 정보는 ASEC 블로그에서 확인할 수 있다.
AhnLab ASEC 분석팀 제공
September 10, 2020 at 08:52AM
https://ift.tt/33cH2gl
정상 문서 파일로 위장한 악성코드 주의 - 우리문화신문
https://ift.tt/3ft9UWf
Bagikan Berita Ini
0 Response to "정상 문서 파일로 위장한 악성코드 주의 - 우리문화신문"
Post a Comment