다양한 주제를 이용하여 CHM 악성코드를 유포 중인 Kimsuky
Contents
AhnLab Security Emergency response Center(ASEC) 에서는 Kimsuky 그룹의 APT 공격을 꾸준히 추적해왔으며, 지난 5월 한달간 확인된 내용을 소개하고자 한다. Kimsuky 그룹은 악성코드 유포에 문서 파일을 자주 사용해왔으나, 최근에는 CHM 을 이용한 유포 방식이 다수 확인되고 있다. 또한, 대부분 문서 내용으로 대북 주제를 다루었던 과거와는 다르게 다양한 주제를 이용하여 공격을 시도하고 있다.
(1) 유포 사례
5월 한달간 확인된 CHM 악성코드의 유포 파일명은 아래와 같다. 코인, 세무, 계약서 등 다양한 주제로 유포되는 것을 확인할 수 있으며, 특정 사용자의 개인 정보가 이용되는 것으로 보인다.
유포 중인 CHM 악성코드는 실행 시, 정상적인 도움말 창을 생성하며 내부 악성 스크립트에 의해 악성 행위가 수행되는 형태이다. 사용자는 정상 파일로 위장한 도움말 화면에 속아 악성 행위를 알아차리기 어렵다. 이때 사용자 PC 에 생성되는 도움말 창은 특정 분야의 종사자를 타겟으로 각각 다른 주제를 이용하여 위장하였으며, 대표적인 사례는 아래와 같다.
[그림 1] 은 세무 신고 관련 사용자를 대상으로 국세청 세무조사 신고 안내문을 위장한 형태이다. 5월은 종합소득세 신고 기간으로 공격자는 해당 특징을 이용한 것으로 보인다.
[그림 …
(1) 유포 사례
5월 한달간 확인된 CHM 악성코드의 유포 파일명은 아래와 같다. 코인, 세무, 계약서 등 다양한 주제로 유포되는 것을 확인할 수 있으며, 특정 사용자의 개인 정보가 이용되는 것으로 보인다.
유포 중인 CHM 악성코드는 실행 시, 정상적인 도움말 창을 생성하며 내부 악성 스크립트에 의해 악성 행위가 수행되는 형태이다. 사용자는 정상 파일로 위장한 도움말 화면에 속아 악성 행위를 알아차리기 어렵다. 이때 사용자 PC 에 생성되는 도움말 창은 특정 분야의 종사자를 타겟으로 각각 다른 주제를 이용하여 위장하였으며, 대표적인 사례는 아래와 같다.
[그림 1] 은 세무 신고 관련 사용자를 대상으로 국세청 세무조사 신고 안내문을 위장한 형태이다. 5월은 종합소득세 신고 기간으로 공격자는 해당 특징을 이용한 것으로 보인다.
[그림 …
IoC
075160d6c8d82b96d1ae7893761695a6
7c7b8dd6dd4ba7b443e84287671f0e79
9861999409cdbc1f7c4c1079d348697c
98764ae00cee9f2cc87530601c159387
ae6fdb8945991b587ab790c2121345ce
b5a873ee6b839cbd03789115fc3ae944
d62dcb76fa0fb4b725ea9c8643874ae7
e5b0430290dc71193b7ea2fc829a9910
e9e56ee78e019e09d5dbe0bb373adf09
ef58a1326b98feccc90c4d37a8ce2fe2
http://vndjgheruewy1.com/tnd/pung03.txt
http://vndjgheruewy1.com/tnd/qung03.txt
http://vndjgheruewy1.com/uun06/uwpp.php
7c7b8dd6dd4ba7b443e84287671f0e79
9861999409cdbc1f7c4c1079d348697c
98764ae00cee9f2cc87530601c159387
ae6fdb8945991b587ab790c2121345ce
b5a873ee6b839cbd03789115fc3ae944
d62dcb76fa0fb4b725ea9c8643874ae7
e5b0430290dc71193b7ea2fc829a9910
e9e56ee78e019e09d5dbe0bb373adf09
ef58a1326b98feccc90c4d37a8ce2fe2
http://vndjgheruewy1.com/tnd/pung03.txt
http://vndjgheruewy1.com/tnd/qung03.txt
http://vndjgheruewy1.com/uun06/uwpp.php