발주서, 품의서를 위장한 AppleSeed 유포
Contents
ASEC 분석팀은 최근들어 발주서, 품의서를 위장하여 AppleSeed 악성코드를 유포하는 정황을 포착하였다. AppleSeed는 Kimsuky 조직에서 주로 사용되는 백도어성 악성코드로 시스템에 상주하면서 공격자의 명령을 받아 악성행위를 수행한다.
최근에는 아래와 같은 파일명으로 악성코드 유포가 이루어지고 있다.
- 발주서-**-2022****-001-국세청5개지방세무서차단센서 추가 도입_***.jse
- 품의서(***과장님).jse
JSE(JScript Encoded File) 파일은 자바 스크립트로 되어있으며, 실행하면 아래와 같이 AppleSeed 백도어 본체(DLL 파일)와 미끼 문서 파일인 발주서 PDF 파일이 %ProgramData% 경로에 드롭되며, [그림 2]와 같이 발주서 PDF 파일이 자동으로 실행된다.
그 후, regsvr32.exe를 이용하여 AppleSeed 백도어 본체 파일을 디코딩 후 실행(보라색 음영 부분)하고, mshta.exe를 이용하여 추가 스크립트를 다운로드 받아 실행(빨간색 음영 부분)한다.
추가 스크립트가 실행되면 아래와 같은 정보들을 탈취하여 C2에 전송한다.
- 컴퓨터 관련 기본적인 정보(컴퓨터 이름, OS 버전, 프로세서, 메모리)
- 사용자 계정 정보
- 네트워크 정보 (IP주소, 라우팅 테이블, 포트 사용 정보, ARP 리스트)
- 현재 실행 중인 프로세스 및 서비스
- ProgramFiles 내 폴더 및 파일 / 시작 메뉴 내 프로그램 / 최근 사용한 파일 목록
AppleSeed 백도어 본체의 경우 지속적으로 C2 서버로부터 명령을 받아서 추가 모듈을 다운로드 받아 …
최근에는 아래와 같은 파일명으로 악성코드 유포가 이루어지고 있다.
- 발주서-**-2022****-001-국세청5개지방세무서차단센서 추가 도입_***.jse
- 품의서(***과장님).jse
JSE(JScript Encoded File) 파일은 자바 스크립트로 되어있으며, 실행하면 아래와 같이 AppleSeed 백도어 본체(DLL 파일)와 미끼 문서 파일인 발주서 PDF 파일이 %ProgramData% 경로에 드롭되며, [그림 2]와 같이 발주서 PDF 파일이 자동으로 실행된다.
그 후, regsvr32.exe를 이용하여 AppleSeed 백도어 본체 파일을 디코딩 후 실행(보라색 음영 부분)하고, mshta.exe를 이용하여 추가 스크립트를 다운로드 받아 실행(빨간색 음영 부분)한다.
추가 스크립트가 실행되면 아래와 같은 정보들을 탈취하여 C2에 전송한다.
- 컴퓨터 관련 기본적인 정보(컴퓨터 이름, OS 버전, 프로세서, 메모리)
- 사용자 계정 정보
- 네트워크 정보 (IP주소, 라우팅 테이블, 포트 사용 정보, ARP 리스트)
- 현재 실행 중인 프로세스 및 서비스
- ProgramFiles 내 폴더 및 파일 / 시작 메뉴 내 프로그램 / 최근 사용한 파일 목록
AppleSeed 백도어 본체의 경우 지속적으로 C2 서버로부터 명령을 받아서 추가 모듈을 다운로드 받아 …
IoC
1ae2e46aac55e7f92c72b56b387bc945
67e7e8600a57e9430a43bf8c5f98c6bd
7d445b39a090b486aaa002b282b4d8cb
ec9dcef04c5c89d6107d23b0668cc1c1
http://dirwear.000webhostapp.com
http://gerter.getenjoyment.net
67e7e8600a57e9430a43bf8c5f98c6bd
7d445b39a090b486aaa002b282b4d8cb
ec9dcef04c5c89d6107d23b0668cc1c1
http://dirwear.000webhostapp.com
http://gerter.getenjoyment.net