공격자 메일에 회신한 경우에 외부 링크로 제공되는 워드문서 (Kimsuky)
Contents
ASEC 분석팀은 대북 관련 내용의 악성 워드 문서가 꾸준히 유포되고 있음을 확인하였다. 확인된 워드 문서는 안랩 TIP에 공개된 “2021년 Kimsuky 공격 워드(word) 문서 사례 총 정리 분석 보고서” 및 ‘외교/안보 관련 내용의 워드문서 유포 중‘ 에서 공유한 워드 문서 유형과 더불어 mshta를 이용하는 유형이 확인되었다.
악성 워드 문서는 다음과 같이 다양한 파일명으로 유포되고 있다.
- 김** 이력서(한미**협회,220711).doc
- 양**_**재단 중간보고(220716).doc
- 자문 요청서.doc
- 유형 1
자문 요청서.doc 파일명의 악성 워드 문서는 아래의 메일을 통해 유포되었을 것으로 추정된다. 공격자는 국내 기관을 사칭하여 보고서 작성에 대해 자문을 요청하기 위한 내용의 메일을 전송하였다.
메일에 직접 워드 문서를 첨부하지 않고 사용자가 해당 메일에 긍정적으로 답변하였을 경우에만 다음과 같이 워드 문서를 다운로드 할 수 있는 악성 URL을 삽입하여 회신하는 것으로 확인되었다.
위 메일에 존재하는 링크 클릭 시 다음과 같이 추가 악성 URL이 포함된 페이지가 확인된다.
우측 하단의 다운로드 클릭 시 hxxps://accounts.serviceprotect[.]eu/signin/v2/identifier?hl=kr&passive=true&<생략>rtnurl=aHR0cHM6Ly9kb2NzLmdv<생략> 에 접속한다. 현재 해당 URL에 접속이 불가하지만 URL 주소로 보아 사용자의 로그인 정보 수집하였을 것으로 추정되며 rtnurl 파라미터 값의 주소에서 악성 워드 …
악성 워드 문서는 다음과 같이 다양한 파일명으로 유포되고 있다.
- 김** 이력서(한미**협회,220711).doc
- 양**_**재단 중간보고(220716).doc
- 자문 요청서.doc
- 유형 1
자문 요청서.doc 파일명의 악성 워드 문서는 아래의 메일을 통해 유포되었을 것으로 추정된다. 공격자는 국내 기관을 사칭하여 보고서 작성에 대해 자문을 요청하기 위한 내용의 메일을 전송하였다.
메일에 직접 워드 문서를 첨부하지 않고 사용자가 해당 메일에 긍정적으로 답변하였을 경우에만 다음과 같이 워드 문서를 다운로드 할 수 있는 악성 URL을 삽입하여 회신하는 것으로 확인되었다.
위 메일에 존재하는 링크 클릭 시 다음과 같이 추가 악성 URL이 포함된 페이지가 확인된다.
우측 하단의 다운로드 클릭 시 hxxps://accounts.serviceprotect[.]eu/signin/v2/identifier?hl=kr&passive=true&<생략>rtnurl=aHR0cHM6Ly9kb2NzLmdv<생략> 에 접속한다. 현재 해당 URL에 접속이 불가하지만 URL 주소로 보아 사용자의 로그인 정보 수집하였을 것으로 추정되며 rtnurl 파라미터 값의 주소에서 악성 워드 …
IoC
357ef37979b02b08120895ae5175eb0a
7fe055d5aa72bd50470da61985e12a8a
http://asssambly.mywebcommunity.org/file/upload/list.php?query=1
http://freunkown1.sportsontheweb.net/h.php
https://accounts.serviceprotect.eu/signin/v2/identifier?hl=kr&passive=true&<
7fe055d5aa72bd50470da61985e12a8a
http://asssambly.mywebcommunity.org/file/upload/list.php?query=1
http://freunkown1.sportsontheweb.net/h.php
https://accounts.serviceprotect.eu/signin/v2/identifier?hl=kr&passive=true&<