대북관련 원고 요구사항을 가장한 APT 공격시도 (Kimsuky)
Contents
대북관련 원고 요구사항을 가장한 APT 공격시도 (Kimsuky)
ASEC 분석팀은 최근 대학원 교수를 대상으로 대북관련 원고 요구사항을 가장한 악성 워드(DOC) 문서를 유포한 정황을 확인하였다. 해당 워드 문서는 다음 이름으로 유포되었으며 문서 제목에서 언급된 카이마(KIMA)는 한국군사문제연구원에서 발행하는 안보, 국방, 군사 분야 전문 월간지 이름이다.
- 3월 월간 카이마 원고_요구사항.doc
공격자는 특정 대학에 소속된 교수를 대상으로 스피어 피싱 공격을 수행하였다. 악성 워드 문서의 매크로 기능 및 전체적인 동작 방식은 [그림 1]과 같으며 공격자 서버로 부터 추가 명령(VBS(Visual Basic Script) 스크립트)을 다운로드하여 메모리상에서 이를 실행한다.
[그림 1] 문서의 공격 흐름도
실행된 VBS 코드가 공격자 C&C 서버와 통신하는 방식은 기존 ASEC 블로그(특정 논문의 악성 워드 문서를 이용한 APT 공격)를 통해 소개한 내용과 유사하다.
특정 논문의 악성 워드 문서를 이용한 APT 공격 – ASEC BLOG
ASEC 분석팀은 지난 9월 특정 논문을 이용한 악성 워드 문서가 유포됨을 확인하였다. 확인된 파일은 “경영혁신이론으로 본 국방개혁의 방향.doc” 명으로 유포되고 있으며 내부에 악성 매크로가 포함되어있다. 내부 매크로 코드는 기존 공유되었던 아래의 파일들과 유사한 형태로 모두 동일한 공격자의 소행으로 …
ASEC 분석팀은 최근 대학원 교수를 대상으로 대북관련 원고 요구사항을 가장한 악성 워드(DOC) 문서를 유포한 정황을 확인하였다. 해당 워드 문서는 다음 이름으로 유포되었으며 문서 제목에서 언급된 카이마(KIMA)는 한국군사문제연구원에서 발행하는 안보, 국방, 군사 분야 전문 월간지 이름이다.
- 3월 월간 카이마 원고_요구사항.doc
공격자는 특정 대학에 소속된 교수를 대상으로 스피어 피싱 공격을 수행하였다. 악성 워드 문서의 매크로 기능 및 전체적인 동작 방식은 [그림 1]과 같으며 공격자 서버로 부터 추가 명령(VBS(Visual Basic Script) 스크립트)을 다운로드하여 메모리상에서 이를 실행한다.
[그림 1] 문서의 공격 흐름도
실행된 VBS 코드가 공격자 C&C 서버와 통신하는 방식은 기존 ASEC 블로그(특정 논문의 악성 워드 문서를 이용한 APT 공격)를 통해 소개한 내용과 유사하다.
특정 논문의 악성 워드 문서를 이용한 APT 공격 – ASEC BLOG
ASEC 분석팀은 지난 9월 특정 논문을 이용한 악성 워드 문서가 유포됨을 확인하였다. 확인된 파일은 “경영혁신이론으로 본 국방개혁의 방향.doc” 명으로 유포되고 있으며 내부에 악성 매크로가 포함되어있다. 내부 매크로 코드는 기존 공유되었던 아래의 파일들과 유사한 형태로 모두 동일한 공격자의 소행으로 …