강연의뢰서로 위장한 Kimsuky 그룹 악성코드(MSC, HWP)
Contents
강연의뢰서로 위장한 Kimsuky 그룹 악성코드(MSC, HWP)
최근 특정 사용자를 대상으로 하는 강연 의뢰서를 위장한 악성코드가 확인되었다.
유포 파일로는 한글 문서(HWP) 파일과 MSC 확장자 형식의 파일이 확인되었으며, 추가 악성 파일을 다운로드한다. 정상 문서로 위장하기 위한 디코이 문서 파일에는 개인 정보가 작성되어 있는 경우도 확인되어 특정 사용자를 대상으로 악성코드를 유포하는 것으로 보인다. 최종적으로 실행되는 악성 행위는 확인되지 않았지만, 공격자의 명령이 담긴 스크립트가 사용자 PC에 저장되어 지속적으로 실행되기 때문에 정보 유출, 추가 악성코드 다운로드 등 다양한 악성 행위가 수행될 수 있다.
해당 악성코드에서 사용하는 악성 URL의 형식이 지난 2023년 자사 ASEC 블로그에 게시한 ‘문서 뷰어로 위장한 악성 배치 파일(*.bat) 유포 중(Kimsuky)[1]’에서 분석된 악성 URL과 유사한 것으로 보아 동일 공격 그룹으로 추정된다.
악성코드의 간략한 동작 과정은 다음과 같다.
그림 1. 악성코드 동작 과정
동작 과정에서 정상 실행 파일과 실행 파일의 Manifest 파일로 위장한 악성 스크립트 파일을 사용하는 것이 특징이다. 또한, 추가 악성 명령을 받아오는 과정에서 구글 드라이브를 사용하는데, 업로드 된 파일의 제목에 인코딩 된 악성 명령어를 삽입하여 악성 행위를 수행한다.
주로 …
최근 특정 사용자를 대상으로 하는 강연 의뢰서를 위장한 악성코드가 확인되었다.
유포 파일로는 한글 문서(HWP) 파일과 MSC 확장자 형식의 파일이 확인되었으며, 추가 악성 파일을 다운로드한다. 정상 문서로 위장하기 위한 디코이 문서 파일에는 개인 정보가 작성되어 있는 경우도 확인되어 특정 사용자를 대상으로 악성코드를 유포하는 것으로 보인다. 최종적으로 실행되는 악성 행위는 확인되지 않았지만, 공격자의 명령이 담긴 스크립트가 사용자 PC에 저장되어 지속적으로 실행되기 때문에 정보 유출, 추가 악성코드 다운로드 등 다양한 악성 행위가 수행될 수 있다.
해당 악성코드에서 사용하는 악성 URL의 형식이 지난 2023년 자사 ASEC 블로그에 게시한 ‘문서 뷰어로 위장한 악성 배치 파일(*.bat) 유포 중(Kimsuky)[1]’에서 분석된 악성 URL과 유사한 것으로 보아 동일 공격 그룹으로 추정된다.
악성코드의 간략한 동작 과정은 다음과 같다.
그림 1. 악성코드 동작 과정
동작 과정에서 정상 실행 파일과 실행 파일의 Manifest 파일로 위장한 악성 스크립트 파일을 사용하는 것이 특징이다. 또한, 추가 악성 명령을 받아오는 과정에서 구글 드라이브를 사용하는데, 업로드 된 파일의 제목에 인코딩 된 악성 명령어를 삽입하여 악성 행위를 수행한다.
주로 …