문서파일로 위장한 LNK 악성코드
Contents
개요
2023년 한 해 동안 Kimsuky 그룹은 다양한 악성코드를 활용해 다방면 공격을 수행해왔다. 그 중에서도 LNK파일 내 스크립트를 삽입해 악성행위를 시작하는 정찰용 악성코드가 많이 유포되었다. 이번 보고서에서는 2023년 Kimsuky 그룹이 LNK 파일을 통해 국내를 공격한 케이스들을 알아보고, 시스템에 설치되어 악성행위를 수행하는 BAT 파일 기반 악성코드에 대해 분석한다. 분석 대상 샘플은 가장 최근에 발견된 LNK 악성파일을 기준으로 분석을 진행했다.
최초 유입
공격에 사용된 스크립트에서 확인된 C2 주소를 분석하는 과정에서 특정 C2에서 파일을 유포한 흔적을 확인했다. 공격자는 공격 대상에게 스피어피싱 이메일 등을 통해 압축 파일 다운로드를 유도한 것으로 보인다.
hxxps://file.drives001[.]com/read/?ra=jonghyup&zw=개인정보 처리 실태 모니터링에 따른 점검 권고 및 개선계획서 요청.zip
hxxps://lafile001[.]com/v2/read/?vw=jong_gyun&nv=소명자료 제출요청 안내.zip
hxxps://naver.cloudfiles001[.]com/v2/read/?hs=chanmijesus&fj=소명자료 제출요청 안내.zip
hxxps://naver.xfiles001[.]com/v2/read/?vw=erateps&nv=탈세제보 신고에 따른 소명자료 제출 요청 안내.zip
hxxps://naver.xfiles001[.]com/v2/read/?vw=19990426&nv=소명자료 제출요청 안내.zip
hxxps://naver.files-download[.]org/v2/read/load.php?ny=ajk8348&eo=서면 자료 요청안내.zip
hxxps://naver.files-download[.]org/v2/read/?ny=kkh66160&eo=서면 자료 요청안내.zip
hxxps://naver.filedowns[.]net/v2/read/?kioz=lunaciz&uwac=연구개발특구 홍보영상 참여일지 특수영상제작과.zip
hxxps://naver.filedowns[.]net/v2/read/?kioz=yesline7&uwac=세무조사 신고서류.zip
hxxps://naver.filedowns[.]net/v2/read/?kioz=estimm&uwac=세무조사출석요구.zip
hxxps://naver.drive001[.]com/v2/read/?ra=boro2003&zw=서면 자료 요청안내.zip
hxxps://naver.files001[.]com/v2/read/?fe=zeussss&mp=단기 대여 약정서.zip
hxxps://naver.down-files[.]com/v2/read/?wp=johnchahee&zn=소명자료 요청서류.zip
hxxp://file.gdrive001[.]com/read/?cu=jaebonghouse&so=종합소득세 신고관련 해명자료 제출 안내.zip
hxxps://file.gdrive001[.]com/read/?cu=jaebonghouse&so=종합소득세 신고관련 해명자료 제출 안내.zip
hxxps://file.gdrive001[.]com/read/?cu=libra.jyc&so=종합소득세 신고관련 해명자료 제출 안내.zip
미끼 문서
공격자는 세금과 관련된 내용으로 주로 공격 했으며, 일부 케이스에서는 북한 대학원 대학교의 수강 신청 정정 등을 주제로 미끼 문서를 …
2023년 한 해 동안 Kimsuky 그룹은 다양한 악성코드를 활용해 다방면 공격을 수행해왔다. 그 중에서도 LNK파일 내 스크립트를 삽입해 악성행위를 시작하는 정찰용 악성코드가 많이 유포되었다. 이번 보고서에서는 2023년 Kimsuky 그룹이 LNK 파일을 통해 국내를 공격한 케이스들을 알아보고, 시스템에 설치되어 악성행위를 수행하는 BAT 파일 기반 악성코드에 대해 분석한다. 분석 대상 샘플은 가장 최근에 발견된 LNK 악성파일을 기준으로 분석을 진행했다.
최초 유입
공격에 사용된 스크립트에서 확인된 C2 주소를 분석하는 과정에서 특정 C2에서 파일을 유포한 흔적을 확인했다. 공격자는 공격 대상에게 스피어피싱 이메일 등을 통해 압축 파일 다운로드를 유도한 것으로 보인다.
hxxps://file.drives001[.]com/read/?ra=jonghyup&zw=개인정보 처리 실태 모니터링에 따른 점검 권고 및 개선계획서 요청.zip
hxxps://lafile001[.]com/v2/read/?vw=jong_gyun&nv=소명자료 제출요청 안내.zip
hxxps://naver.cloudfiles001[.]com/v2/read/?hs=chanmijesus&fj=소명자료 제출요청 안내.zip
hxxps://naver.xfiles001[.]com/v2/read/?vw=erateps&nv=탈세제보 신고에 따른 소명자료 제출 요청 안내.zip
hxxps://naver.xfiles001[.]com/v2/read/?vw=19990426&nv=소명자료 제출요청 안내.zip
hxxps://naver.files-download[.]org/v2/read/load.php?ny=ajk8348&eo=서면 자료 요청안내.zip
hxxps://naver.files-download[.]org/v2/read/?ny=kkh66160&eo=서면 자료 요청안내.zip
hxxps://naver.filedowns[.]net/v2/read/?kioz=lunaciz&uwac=연구개발특구 홍보영상 참여일지 특수영상제작과.zip
hxxps://naver.filedowns[.]net/v2/read/?kioz=yesline7&uwac=세무조사 신고서류.zip
hxxps://naver.filedowns[.]net/v2/read/?kioz=estimm&uwac=세무조사출석요구.zip
hxxps://naver.drive001[.]com/v2/read/?ra=boro2003&zw=서면 자료 요청안내.zip
hxxps://naver.files001[.]com/v2/read/?fe=zeussss&mp=단기 대여 약정서.zip
hxxps://naver.down-files[.]com/v2/read/?wp=johnchahee&zn=소명자료 요청서류.zip
hxxp://file.gdrive001[.]com/read/?cu=jaebonghouse&so=종합소득세 신고관련 해명자료 제출 안내.zip
hxxps://file.gdrive001[.]com/read/?cu=jaebonghouse&so=종합소득세 신고관련 해명자료 제출 안내.zip
hxxps://file.gdrive001[.]com/read/?cu=libra.jyc&so=종합소득세 신고관련 해명자료 제출 안내.zip
미끼 문서
공격자는 세금과 관련된 내용으로 주로 공격 했으며, 일부 케이스에서는 북한 대학원 대학교의 수강 신청 정정 등을 주제로 미끼 문서를 …
IoC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://anrun.kr/movie/contents.php
http://anrun.kr/movie/contents.php?fifo=%COMPUTERNAME%
http://centhosting.net/list.php?q=%COMPUTERNAME%.txt
http://centhosting.net/upload.php
http://cldservice.net/list.php?f=%COMPUTERNAME%.txt
http://cldservice.net/upload.php
http://expressionkey.com/list.php?q=%COMPUTERNAME%.txt
http://expressionkey.com/upload.php
http://file.gdrive001.com/read/?cu=jaebonghouse&so=
http://ttzcloud.com/list.php?f=%COMPUTERNAME%.txt
http://ttzcloud.com/upload.php
https://bgfile.com/v2/read/get.php?vw=ln3&nv=xu6502
https://downwarding.com/v2/read/get.php?vw=ln3&nv=xu6502
https://file.drives001.com/read/?ra=jonghyup&zw=
https://file.drives001.com/read/get.php?ra=ln3&zw=xu6502
https://file.gdrive001.com/read/?cu=jaebonghouse&so=
https://file.gdrive001.com/read/?cu=libra.jyc&so=
https://filecompact.com/list.php?q=%COMPUTERNAME%.txt
https://filecompact.com/upload.php
https://lafile001.com/v2/read/?vw=jong_gyun&nv=
https://naver.cloudfiles001.com/v2/read/?hs=chanmijesus&fj=
https://naver.down-files.com/v2/read/?wp=johnchahee&zn=
https://naver.drive001.com/v2/read/?ra=boro2003&zw=
https://naver.drive001.com/v2/read/get.php?ra=ln3^&zw=xu6501
https://naver.filedowns.net/v2/read/?kioz=estimm&uwac=
https://naver.filedowns.net/v2/read/?kioz=lunaciz&uwac=
https://naver.filedowns.net/v2/read/?kioz=yesline7&uwac=
https://naver.files-download.org/v2/read/?ny=kkh66160&eo=
https://naver.files-download.org/v2/read/load.php?ny=ajk8348&eo=
https://naver.files001.com/v2/read/?fe=zeussss&mp=
https://naver.xfiles001.com/v2/read/?vw=19990426&nv=
https://naver.xfiles001.com/v2/read/?vw=erateps&nv=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://anrun.kr/movie/contents.php
http://anrun.kr/movie/contents.php?fifo=%COMPUTERNAME%
http://centhosting.net/list.php?q=%COMPUTERNAME%.txt
http://centhosting.net/upload.php
http://cldservice.net/list.php?f=%COMPUTERNAME%.txt
http://cldservice.net/upload.php
http://expressionkey.com/list.php?q=%COMPUTERNAME%.txt
http://expressionkey.com/upload.php
http://file.gdrive001.com/read/?cu=jaebonghouse&so=
http://ttzcloud.com/list.php?f=%COMPUTERNAME%.txt
http://ttzcloud.com/upload.php
https://bgfile.com/v2/read/get.php?vw=ln3&nv=xu6502
https://downwarding.com/v2/read/get.php?vw=ln3&nv=xu6502
https://file.drives001.com/read/?ra=jonghyup&zw=
https://file.drives001.com/read/get.php?ra=ln3&zw=xu6502
https://file.gdrive001.com/read/?cu=jaebonghouse&so=
https://file.gdrive001.com/read/?cu=libra.jyc&so=
https://filecompact.com/list.php?q=%COMPUTERNAME%.txt
https://filecompact.com/upload.php
https://lafile001.com/v2/read/?vw=jong_gyun&nv=
https://naver.cloudfiles001.com/v2/read/?hs=chanmijesus&fj=
https://naver.down-files.com/v2/read/?wp=johnchahee&zn=
https://naver.drive001.com/v2/read/?ra=boro2003&zw=
https://naver.drive001.com/v2/read/get.php?ra=ln3^&zw=xu6501
https://naver.filedowns.net/v2/read/?kioz=estimm&uwac=
https://naver.filedowns.net/v2/read/?kioz=lunaciz&uwac=
https://naver.filedowns.net/v2/read/?kioz=yesline7&uwac=
https://naver.files-download.org/v2/read/?ny=kkh66160&eo=
https://naver.files-download.org/v2/read/load.php?ny=ajk8348&eo=
https://naver.files001.com/v2/read/?fe=zeussss&mp=
https://naver.xfiles001.com/v2/read/?vw=19990426&nv=
https://naver.xfiles001.com/v2/read/?vw=erateps&nv=