문서 뷰어로 위장한 악성 배치 파일(*.bat) 유포 중(Kimsuky)
Contents
ASEC(AhnLab Security Emergency response Center)은 배치 파일(*.bat) 형태의 악성코드가 유포되고 있음을 확인하였다. 해당 악성코드는 사용자 환경에 설치된 자사 제품을 포함한 백신 프로세스에 따라 다양한 스크립트를 다운로드한다. 악성코드가 사용하는 함수명, 다운로드 URL 파리미터 등을 보아 Kimsuky 그룹에서 유포한 것으로 추정된다.
악성코드의 정확한 유포 경로는 확인되진 않았으나 이메일을 통해 유포되는 것으로 보여진다. 확인된 배치 파일의 파일명은 다음과 같이 워드, 한글 등 문서 프로그램의 뷰어로 보이도록 위장하였다.
|확인 날짜||파일명|
|03.22||docview.bat|
|03.28||pdfview.bat|
|06.12||hwp.bat|
|06.20||docxview.bat|
|06.21||pdf.bat|
배치 파일 실행 시 explorer 명령어를 통해 구글 드라이브 및 독스에 접속한다. 이를 통해 구글 독스 및 드라이브에 업로드된 문서 파일이 실행되어 뷰어 프로그램을 실행한 것처럼 보이도록 하였다. 실행되는 문서는 대부분 군사, 통일 관련 내용을 담고 있다.
|문서 제목||접속 URL|
|미 인도태평양 전략의 군사안보적 검토 – 미 인도태평양 사령부를 중심으로.pdf||hxxps://drive.google.com/file/d/1e41uC2ZTYvTc3CvS6wIKox22AGdP4nFB/view?usp=sharing|
|Consent Form_Princeton Study.pdf||hxxps://drive.google.com/file/d/1tI4J95-7HDGES8e6oHR-wu0cXD8wHPUc/view?usp=sharing|
|자유민주주의 원칙하 한반도 통일을 이룩하여 번영된 조국 건설해야.pdf||hxxps://docs.google.com/document/d/1NJfvSpdku2PW3gwg0dnoELrlVp3CEGB4mtNIFE4bOVE/edit?usp=sharing|
|NK_nuclear_threat.docx||hxxps://docs.google.com/document/d/1C3h0agp3E6Z4a9z-YxnMTgP3Fd9y8n2C/edit?rtpof=true&sd=true|
|한미동맹(글로벌국방)-new.hwp||hxxps://drive.google.com/file/d/1rCws6IDhJvynpM3TOSv3IKGWNKXI5uH9/view?usp=sharing|
이후 wmic 명령어를 사용하여 다양한 백신 프로세스를 확인한다. 공격자는 사용자 환경에서 실행중인 백신 프로세스 종류에 따라 다른 스크립트를 다운로드한다.
|확인하는 AV 제품 |
(프로세스명)
|다운로드 경로 및 파일명||다운로드 URL|
|Kaspersky|
(avpui.exe, avp.exe )
|%appdata%\Microsoft\Templates\Normal.dotm||hxxp://joongang[.]site/pprb/sec/ca.php?na=dot_kasp.gif|
|c:\users\public\videos\video.vbs||hxxp://joongang[.]site/pprb/sec/ca.php?na=reg0.gif|
|Avast|
( avastui.exe, avgui.exe )
|%appdata%\Microsoft\Windows\Start …
악성코드의 정확한 유포 경로는 확인되진 않았으나 이메일을 통해 유포되는 것으로 보여진다. 확인된 배치 파일의 파일명은 다음과 같이 워드, 한글 등 문서 프로그램의 뷰어로 보이도록 위장하였다.
|확인 날짜||파일명|
|03.22||docview.bat|
|03.28||pdfview.bat|
|06.12||hwp.bat|
|06.20||docxview.bat|
|06.21||pdf.bat|
배치 파일 실행 시 explorer 명령어를 통해 구글 드라이브 및 독스에 접속한다. 이를 통해 구글 독스 및 드라이브에 업로드된 문서 파일이 실행되어 뷰어 프로그램을 실행한 것처럼 보이도록 하였다. 실행되는 문서는 대부분 군사, 통일 관련 내용을 담고 있다.
|문서 제목||접속 URL|
|미 인도태평양 전략의 군사안보적 검토 – 미 인도태평양 사령부를 중심으로.pdf||hxxps://drive.google.com/file/d/1e41uC2ZTYvTc3CvS6wIKox22AGdP4nFB/view?usp=sharing|
|Consent Form_Princeton Study.pdf||hxxps://drive.google.com/file/d/1tI4J95-7HDGES8e6oHR-wu0cXD8wHPUc/view?usp=sharing|
|자유민주주의 원칙하 한반도 통일을 이룩하여 번영된 조국 건설해야.pdf||hxxps://docs.google.com/document/d/1NJfvSpdku2PW3gwg0dnoELrlVp3CEGB4mtNIFE4bOVE/edit?usp=sharing|
|NK_nuclear_threat.docx||hxxps://docs.google.com/document/d/1C3h0agp3E6Z4a9z-YxnMTgP3Fd9y8n2C/edit?rtpof=true&sd=true|
|한미동맹(글로벌국방)-new.hwp||hxxps://drive.google.com/file/d/1rCws6IDhJvynpM3TOSv3IKGWNKXI5uH9/view?usp=sharing|
이후 wmic 명령어를 사용하여 다양한 백신 프로세스를 확인한다. 공격자는 사용자 환경에서 실행중인 백신 프로세스 종류에 따라 다른 스크립트를 다운로드한다.
|확인하는 AV 제품 |
(프로세스명)
|다운로드 경로 및 파일명||다운로드 URL|
|Kaspersky|
(avpui.exe, avp.exe )
|%appdata%\Microsoft\Templates\Normal.dotm||hxxp://joongang[.]site/pprb/sec/ca.php?na=dot_kasp.gif|
|c:\users\public\videos\video.vbs||hxxp://joongang[.]site/pprb/sec/ca.php?na=reg0.gif|
|Avast|
( avastui.exe, avgui.exe )
|%appdata%\Microsoft\Windows\Start …
IoC
00119ed01689e76cb7f33646693ecd6a
7d79901b01075e29d8505e72d225ff52
8536d838dcdd026c57187ec2c3aec0f6
a7ac7d100184078c2aa5645552794c19
http://joongang.site/doc/
http://joongang.site/docx/
http://joongang.site/pprb/sec/
http://joongang.site/pprb/sec/ca.php?na=dot_kasp.gif
http://joongang.site/pprb/sec/ca.php?na=reg0.gif
http://joongang.site/pprb/sec/ca.php?na=sh_ava.gif
http://joongang.site/pprb/sec/d.php?na=battmp
http://namsouth.com/gopprb/OpOpO/
http://staradvertiser.store/signal/
https://docs.google.com/document/d/1C3h0agp3E6Z4a9z-YxnMTgP3Fd9y8n2C/edit?rtpof=true&sd=true|
https://docs.google.com/document/d/1NJfvSpdku2PW3gwg0dnoELrlVp3CEGB4mtNIFE4bOVE/edit?usp=sharing|
https://drive.google.com/file/d/1e41uC2ZTYvTc3CvS6wIKox22AGdP4nFB/view?usp=sharing|
https://drive.google.com/file/d/1rCws6IDhJvynpM3TOSv3IKGWNKXI5uH9/view?usp=sharing|
https://drive.google.com/file/d/1tI4J95-7HDGES8e6oHR-wu0cXD8wHPUc/view?usp=sharing|
https://joongang.site/pprb/sec/ca.php?na=sh_vb.gif
https://joongang.site/pprb/sec/ca.php?na=vbs.gif
https://joongang.site/pprb/sec/d.php?na=battmp
https://joongang.site/pprb/sec/r.php
https://joongang.site/pprb/sec/t1.hta
7d79901b01075e29d8505e72d225ff52
8536d838dcdd026c57187ec2c3aec0f6
a7ac7d100184078c2aa5645552794c19
http://joongang.site/doc/
http://joongang.site/docx/
http://joongang.site/pprb/sec/
http://joongang.site/pprb/sec/ca.php?na=dot_kasp.gif
http://joongang.site/pprb/sec/ca.php?na=reg0.gif
http://joongang.site/pprb/sec/ca.php?na=sh_ava.gif
http://joongang.site/pprb/sec/d.php?na=battmp
http://namsouth.com/gopprb/OpOpO/
http://staradvertiser.store/signal/
https://docs.google.com/document/d/1C3h0agp3E6Z4a9z-YxnMTgP3Fd9y8n2C/edit?rtpof=true&sd=true|
https://docs.google.com/document/d/1NJfvSpdku2PW3gwg0dnoELrlVp3CEGB4mtNIFE4bOVE/edit?usp=sharing|
https://drive.google.com/file/d/1e41uC2ZTYvTc3CvS6wIKox22AGdP4nFB/view?usp=sharing|
https://drive.google.com/file/d/1rCws6IDhJvynpM3TOSv3IKGWNKXI5uH9/view?usp=sharing|
https://drive.google.com/file/d/1tI4J95-7HDGES8e6oHR-wu0cXD8wHPUc/view?usp=sharing|
https://joongang.site/pprb/sec/ca.php?na=sh_vb.gif
https://joongang.site/pprb/sec/ca.php?na=vbs.gif
https://joongang.site/pprb/sec/d.php?na=battmp
https://joongang.site/pprb/sec/r.php
https://joongang.site/pprb/sec/t1.hta