논문파일을 위장한 악성코드 유포 주의 (Kimsuky 그룹)
Contents
논문파일을 위장한 악성코드 유포 주의 (Kimsuky 그룹)
최근 AhnLab SEcurity intelligence Center(ASEC)은 Kimsuky 그룹이 교수를 대상으로 논문 심사 요청을 가장한 피싱 메일 공격 정황을 확인하였다. 메일에 악성 OLE 개체가 삽입된 한글 문서 파일을 첨부하여 파일 실행을 유도했다. 해당 문서에는 비밀번호가 설정되어 있어, 메일 본문에 포함된 비밀번호를 입력해야 열람할 수 있으며, 문서를 열면 %TEMP%(임시 폴더) 경로에 6개의 파일이 자동으로 생성된다. 사용자가 내용을 더 확인하도록 문서 본문에 포함된 “더보기…” 문장에는 생성된 파일 중 하나인 “peice.bat” 파일을 실행하는 하이퍼링크가 삽입되어 있다. 문서 열람 시 생성되는 파일 목록은 아래 [표 1]과 같다.
[그림 1] 악성 OLE개체가 포함된 한글 문서파일
| 번호 | 파일이름 | 기능 |
|---|---|---|
| 1 | app.db | 정상 서명된 EXE |
| 2 | get.db | 프로세스 리스트, 설치된 AV정보 수집 및 추가 파일 다운로드 하는 파워쉘 스크립트 |
| 3 | hwp_doc.db | 정상 미끼 한글 문서 파일 |
| 4 | mnfst.db | 1번(app.db)파일이 읽는 설정 파일 |
| 5 | sch_0514.db | 12분마다 2번(get.db)을 실행하는 …
최근 AhnLab SEcurity intelligence Center(ASEC)은 Kimsuky 그룹이 교수를 대상으로 논문 심사 요청을 가장한 피싱 메일 공격 정황을 확인하였다. 메일에 악성 OLE 개체가 삽입된 한글 문서 파일을 첨부하여 파일 실행을 유도했다. 해당 문서에는 비밀번호가 설정되어 있어, 메일 본문에 포함된 비밀번호를 입력해야 열람할 수 있으며, 문서를 열면 %TEMP%(임시 폴더) 경로에 6개의 파일이 자동으로 생성된다. 사용자가 내용을 더 확인하도록 문서 본문에 포함된 “더보기…” 문장에는 생성된 파일 중 하나인 “peice.bat” 파일을 실행하는 하이퍼링크가 삽입되어 있다. 문서 열람 시 생성되는 파일 목록은 아래 [표 1]과 같다.
[그림 1] 악성 OLE개체가 포함된 한글 문서파일
| 번호 | 파일이름 | 기능 |
|---|---|---|
| 1 | app.db | 정상 서명된 EXE |
| 2 | get.db | 프로세스 리스트, 설치된 AV정보 수집 및 추가 파일 다운로드 하는 파워쉘 스크립트 |
| 3 | hwp_doc.db | 정상 미끼 한글 문서 파일 |
| 4 | mnfst.db | 1번(app.db)파일이 읽는 설정 파일 |
| 5 | sch_0514.db | 12분마다 2번(get.db)을 실행하는 …