대북 관련 질문지를 위장한 CHM 악성코드 (Kimsuky)
Contents
ASEC(AhnLab Security Emergency response Center)은 최근 Kimsuky 그룹에서 제작한 것으로 추정되는 CHM 악성코드를 확인하였다. 해당 악성코드 유형은 아래 ASEC 블로그 및 Kimsuky 그룹 유포 악성코드 분석 보고서에서 소개한 악성코드와 동일하며 사용자 정보 유출을 목적으로 한다.
- Kimsuky 그룹 유포 악성코드 분석 보고서 – 2022.10.20
- 윈도우 도움말 파일(*.chm)로 유포되는 APT 공격 – 2022.03.17
- 코인분실, 급여명세서 위장한 악성 도움말 파일 (*.chm) – 2022.05.11
CHM 파일은 압축 파일 형태로 이메일에 첨부되어 유포된다. 원문 메일에는 대북 관련 내용의 인터뷰 요청으로 위장하였으며 메일 수신인이 이를 수락할 경우 암호가 설정된 압축 파일을 첨부하여 회신한다. 이는 기존에 분석된 내용과 유사하게 대북 관련 인터뷰를 위장하고 있을 뿐만 아니라 사용자가 메일에 회신한 경우에만 악성 파일을 전달하는 동일한 방식을 사용했다.
- 정상 문서로 위장한 악성코드(kimsuky) – 2023.02.03
- 공격자 메일에 회신한 경우에 외부 링크로 제공되는 워드문서 (Kimsuky) – 2022.07.26
인터뷰 질의문(***).chm 파일 실행 시 아래와 같이 실제 질문이 작성된 도움말 창이 나타나 사용자가 악성 파일임을 알아차리기 어렵다.
CHM에는 악성 스크립트가 존재하며 이전에 소개된 CHM 악성코드들과 동일하게 …
- Kimsuky 그룹 유포 악성코드 분석 보고서 – 2022.10.20
- 윈도우 도움말 파일(*.chm)로 유포되는 APT 공격 – 2022.03.17
- 코인분실, 급여명세서 위장한 악성 도움말 파일 (*.chm) – 2022.05.11
CHM 파일은 압축 파일 형태로 이메일에 첨부되어 유포된다. 원문 메일에는 대북 관련 내용의 인터뷰 요청으로 위장하였으며 메일 수신인이 이를 수락할 경우 암호가 설정된 압축 파일을 첨부하여 회신한다. 이는 기존에 분석된 내용과 유사하게 대북 관련 인터뷰를 위장하고 있을 뿐만 아니라 사용자가 메일에 회신한 경우에만 악성 파일을 전달하는 동일한 방식을 사용했다.
- 정상 문서로 위장한 악성코드(kimsuky) – 2023.02.03
- 공격자 메일에 회신한 경우에 외부 링크로 제공되는 워드문서 (Kimsuky) – 2022.07.26
인터뷰 질의문(***).chm 파일 실행 시 아래와 같이 실제 질문이 작성된 도움말 창이 나타나 사용자가 악성 파일임을 알아차리기 어렵다.
CHM에는 악성 스크립트가 존재하며 이전에 소개된 CHM 악성코드들과 동일하게 …