국내 유명 법무법인을 타겟으로 한 APT 공격
Contents
1. 개요
2024년 12월, 국내 대형 법무법인을 대상으로 한 조직적인 APT(Advanced Persistent Threat) 공격이 발견되었습니다. 분석 결과, 이번 공격은 북한과 연계된 것으로 알려진 Kimsuky에 의한 것으로 확인되었습니다. 이들은 주요 표적의 민감한 정보를 수집과 정찰 작업을 수행하는 등 다양한 스파이 활동에 특화된 조직입니다.
공격자는 국내 유명 법무법인을 대상으로 악성코드가 담긴 한글 파일 ‘한국방위산업학회 방위산업 디지털 혁신 세미나 (계획).hwp’을 발송했습니다. 해당 파일은 보안 장비의 탐지를 우회하기 위해 암호가 설정되어 있으며, 사용자가 문서를 열 때 OLE 개체 기능을 악용하여 다수의 파일을 임시 디렉토리에 생성합니다. 이후 사용자가 파일 안에 있는 다른 미끼 문서를 클릭하면 임시 디렉토리에 생성된 파일이 실행되어 아래의 두 가지 작업을 등록합니다.
- ‘TemporaryStatescleanesdfrs’ 작업: 15분 주기로 C2 서버에서 wis.db 파일을 다운로드
- ‘TemporaryStatescleansders_1’ 작업: 15분 주기로 다운로드 받은 wis.db 파일의 확장자를 bat로 바꾼 후 실행
결과적으로 15분 마다 C2 서버에서 새로운 배치 스크립트를 다운로드, 실행합니다.
2. 악성코드 상세 분석
로그프레소는 2024년 12월부터 유포된 것으로 보이는 ‘한국방위산업학회 방위산업 디지털 혁신 세미나(계획).hwp’(63a119714f01d9ff57c51614c9727f84) 파일을 수집했습니다. 해당 파일은 국내 유명 법무법인의 한국방위산업 …
2024년 12월, 국내 대형 법무법인을 대상으로 한 조직적인 APT(Advanced Persistent Threat) 공격이 발견되었습니다. 분석 결과, 이번 공격은 북한과 연계된 것으로 알려진 Kimsuky에 의한 것으로 확인되었습니다. 이들은 주요 표적의 민감한 정보를 수집과 정찰 작업을 수행하는 등 다양한 스파이 활동에 특화된 조직입니다.
공격자는 국내 유명 법무법인을 대상으로 악성코드가 담긴 한글 파일 ‘한국방위산업학회 방위산업 디지털 혁신 세미나 (계획).hwp’을 발송했습니다. 해당 파일은 보안 장비의 탐지를 우회하기 위해 암호가 설정되어 있으며, 사용자가 문서를 열 때 OLE 개체 기능을 악용하여 다수의 파일을 임시 디렉토리에 생성합니다. 이후 사용자가 파일 안에 있는 다른 미끼 문서를 클릭하면 임시 디렉토리에 생성된 파일이 실행되어 아래의 두 가지 작업을 등록합니다.
- ‘TemporaryStatescleanesdfrs’ 작업: 15분 주기로 C2 서버에서 wis.db 파일을 다운로드
- ‘TemporaryStatescleansders_1’ 작업: 15분 주기로 다운로드 받은 wis.db 파일의 확장자를 bat로 바꾼 후 실행
결과적으로 15분 마다 C2 서버에서 새로운 배치 스크립트를 다운로드, 실행합니다.
2. 악성코드 상세 분석
로그프레소는 2024년 12월부터 유포된 것으로 보이는 ‘한국방위산업학회 방위산업 디지털 혁신 세미나(계획).hwp’(63a119714f01d9ff57c51614c9727f84) 파일을 수집했습니다. 해당 파일은 국내 유명 법무법인의 한국방위산업 …
IoC
https://www.elmer.com.tr/modules/mod_finder/src/Helper/1212_pprb_all/dksleks?newpa=comline
84970168e4105b2b127c27c4a26300ad
b1bde0a7a0ed0c593da5f7114ba21740
de2bb5f2ad0e5354b27d49a91b2050c1
4fa124105cea13668248a86d7a9493ec
63a119714f01d9ff57c51614c9727f84
81db5019efd1b7b1c4c644e999e19611
0337ebf5f6f3895bcb884731ac491f7f
88d25b3b16d6d8ba216beff155747ad4
ec7f17c6222642878c32f3ece61f1a1e
e2fec8d5acc5e7df77ddd299333db8f4
4ab80f99a8a16c0e413f527ae50b6439
84970168e4105b2b127c27c4a26300ad
b1bde0a7a0ed0c593da5f7114ba21740
de2bb5f2ad0e5354b27d49a91b2050c1
4fa124105cea13668248a86d7a9493ec
63a119714f01d9ff57c51614c9727f84
81db5019efd1b7b1c4c644e999e19611
0337ebf5f6f3895bcb884731ac491f7f
88d25b3b16d6d8ba216beff155747ad4
ec7f17c6222642878c32f3ece61f1a1e
e2fec8d5acc5e7df77ddd299333db8f4
4ab80f99a8a16c0e413f527ae50b6439