러시아와 북한 파트너쉽에 관한 논문을 위장한 APT 공격 (Kimsuky)
Contents
러시아와 북한 파트너쉽에 관한 논문을 위장한 APT 공격 (Kimsuky)
ASEC(AhnLab SEcurity intelligence Center)에서는 최근 국내 사용자를 타겟으로 한 APT 공격 정황을 확인하였다. 해당 공격 과정에서 공격자는 Github 리퍼지토리를 이용하였으며, 해당 리퍼지토리에는 공격에 사용되는 다수의 악성 스크립트와 정상 미끼 파일이 업로드 되어 있다.
그림 1. 공격자의 Github 리퍼지토리
업로드 된 다수의 악성 스크립트를 통해 악성 행위가 수행되며, 최종적으로 사용자의 정보를 탈취하게 된다. 또한, 지속성을 위해 악성 스크립트가 Runkey 에 등록되어 실행되며 더 정교한 공격을 수행하기 위해 파일의 속성과 권한 등을 변경하는 기능이 추가되었다.
그림 2. 전체 동작 과정
공격 과정에 사용되는 미끼 파일은 총 두 개의 워드 문서로, 하나는 러시아와 북한 파트너쉽에 관한 논문 문서이며 나머지 하나는 해당 논문에 대한 리뷰 양식 문서이다.
그림 3. 미끼 파일 (1)
그림 4. 미끼 파일 (2)
이와 같이 공격 과정에서 외부 리퍼지토리를 악용하는 사례가 증가하고 있으며, 본 문서에서는 공격자의 Github 리퍼지토리 모니터링을 통해 확인한 정보 및 APT 공격 과정에 대해 설명한다.
개요 악성코드 분석 …. 1. 동작 과정 …. 2. 파일별 분석 …….. …
ASEC(AhnLab SEcurity intelligence Center)에서는 최근 국내 사용자를 타겟으로 한 APT 공격 정황을 확인하였다. 해당 공격 과정에서 공격자는 Github 리퍼지토리를 이용하였으며, 해당 리퍼지토리에는 공격에 사용되는 다수의 악성 스크립트와 정상 미끼 파일이 업로드 되어 있다.
그림 1. 공격자의 Github 리퍼지토리
업로드 된 다수의 악성 스크립트를 통해 악성 행위가 수행되며, 최종적으로 사용자의 정보를 탈취하게 된다. 또한, 지속성을 위해 악성 스크립트가 Runkey 에 등록되어 실행되며 더 정교한 공격을 수행하기 위해 파일의 속성과 권한 등을 변경하는 기능이 추가되었다.
그림 2. 전체 동작 과정
공격 과정에 사용되는 미끼 파일은 총 두 개의 워드 문서로, 하나는 러시아와 북한 파트너쉽에 관한 논문 문서이며 나머지 하나는 해당 논문에 대한 리뷰 양식 문서이다.
그림 3. 미끼 파일 (1)
그림 4. 미끼 파일 (2)
이와 같이 공격 과정에서 외부 리퍼지토리를 악용하는 사례가 증가하고 있으며, 본 문서에서는 공격자의 Github 리퍼지토리 모니터링을 통해 확인한 정보 및 APT 공격 과정에 대해 설명한다.
개요 악성코드 분석 …. 1. 동작 과정 …. 2. 파일별 분석 …….. …
IoC
ac68dad3114c469c5d1e81f9dbc59eb0
b0e7a8fa1eb5690e7e42fb09c9ee6307
e5288ab0f625e498e27178b0d17329f9
b0e7a8fa1eb5690e7e42fb09c9ee6307
e5288ab0f625e498e27178b0d17329f9