보안 프로그램 설치 과정에서 감염되는 TrollAgent (Kimsuky 그룹)
Contents
ASEC(AhnLab SEcurity intelligence Center)에서는 최근 국내 건설 관련 협회의 홈페이지 상에서 보안 프로그램 설치 시도 시, 악성코드가 다운로드 되고 있다는 정황을 확인하였다. 해당 홈페이지에서 제공하는 서비스를 사용하기 위해서는 로그인이 필요하며 보안을 위해 다양한 설치 프로그램들을 설치해야 로그인을 진행할 수 있다.
로그인을 위해 설치하도록 유도되는 프로그램들 중 악성코드가 포함된 설치 프로그램이 존재하였으며 만약 사용자가 이를 다운로드해 설치할 경우 보안 프로그램뿐만 아니라 악성코드도 함께 설치된다.
이러한 과정을 통해 설치되는 악성코드는 외부에서 공격자의 명령을 전달받아 악의적인 행위를 수행할 수 있는 백도어 악성코드와 감염 시스템의 정보를 수집하는 정보 탈취 악성코드가 있다. 이에 따라 사용자는 공식적인 홈페이지에서 보안 프로그램을 설치하는 것 만으로 개인 정보 탈취 등의 위험에 노출될 수 있다.
1. 유포 방식
해당 업체의 홈페이지에 접속한 후 로그인을 시도할 경우 다음과 같이 로그인을 위해서는 보안 프로그램을 설치할 것을 요구한다. 설치가 필요한 보안 프로그램들 중 “NX_PRNMAN”에서 악성코드가 포함된 악성 설치 파일이 다운로드된다. 이는 분석 시점인 2024년 1월 중순 기준이며, 2023년 12월 경에는 “TrustPKI” 보안 프로그램 내 악성코드가 포함되어 유포되었다. …
로그인을 위해 설치하도록 유도되는 프로그램들 중 악성코드가 포함된 설치 프로그램이 존재하였으며 만약 사용자가 이를 다운로드해 설치할 경우 보안 프로그램뿐만 아니라 악성코드도 함께 설치된다.
이러한 과정을 통해 설치되는 악성코드는 외부에서 공격자의 명령을 전달받아 악의적인 행위를 수행할 수 있는 백도어 악성코드와 감염 시스템의 정보를 수집하는 정보 탈취 악성코드가 있다. 이에 따라 사용자는 공식적인 홈페이지에서 보안 프로그램을 설치하는 것 만으로 개인 정보 탈취 등의 위험에 노출될 수 있다.
1. 유포 방식
해당 업체의 홈페이지에 접속한 후 로그인을 시도할 경우 다음과 같이 로그인을 위해서는 보안 프로그램을 설치할 것을 요구한다. 설치가 필요한 보안 프로그램들 중 “NX_PRNMAN”에서 악성코드가 포함된 악성 설치 파일이 다운로드된다. 이는 분석 시점인 2024년 1월 중순 기준이며, 2023년 12월 경에는 “TrustPKI” 보안 프로그램 내 악성코드가 포함되어 유포되었다. …
IoC
013c4ee2b32511b11ee9540bb0fdb9d1
035cf750c67de0ab2e6228409ac85ea3
19c2decfa7271fa30e48d4750c1d18c1
27ef6917fe32685fdf9b755eb8e97565
2aaa3f1859102aab35519f0d4c1585dd
2b678c0f59924ca90a753daa881e9fd3
4168ff8b0a3e2f7e9c96afb653d42a01
4222492e069ac78a55d3451f4b9b9fca
42ea65fda0f92bbeca5f4535155125c7
6097d030fe6f05ec0249e4d87b6be4a6
62fba369711087ea37ef0b0ab62f3372
7457dc037c4a5f3713d9243a0dfb1a2c
7b6d02a459fdaa4caa1a5bf741c4bd42
87429e9223d45e0359cd1c41c0301836
88f183304b99c897aacfa321d58e1840
8d4af59eebdcda10f3c88049bb097a3a
9360a895837177d8a23b2e3f79508059
9e75705b4930f50502bcbd740fc3ece1
a67cf9add2905c11f5c466bc01d554b0
b532f3dcc788896c4844f36eb6cee3d1
b97abf7b17aeb4fa661594a4a1e5c77f
c8e7b0d3b6afa22e801cacaf16b37355
d67abe980a397a94e1715df6e64eedc8
dc636da03e807258d2a10825780b4639
e4a6d47e9e60e4c858c1314d263aa317
http://ai.aerosp.p-e.kr/index.php
http://ai.bananat.p-e.kr/index.php
http://ai.daysol.p-e.kr/index.php
http://ai.kimyy.p-e.kr/index.php
http://ai.kostin.p-e.kr/index.php
http://ai.limsjo.p-e.kr/index.php
http://ai.negapa.p-e.kr/index.php
http://ai.selecto.p-e.kr/index.php
http://ai.ssungmin.p-e.kr/index.php
http://ar.kostin.p-e.kr/index.php
http://ca.bananat.p-e.kr/index.php
http://ce.aerosp.p-e.kr/index.php
http://coolsystem.co.kr/admin/mail/index.php
http://dl.netup.p-e.kr/index.php
http://li.ssungmin.p-e.kr/index.php
http://ol.negapa.p-e.kr/index.php
http://pe.daysol.p-e.kr/index.php
http://pi.selecto.p-e.kr/index.php
http://qa.jaychoi.p-e.kr/index.php
http://qi.limsjo.p-e.kr/index.php
http://sa.netup.p-e.kr/index.php
http://ve.kimyy.p-e.kr/index.php
http://viewer.appofficer.kro.kr/index.php
035cf750c67de0ab2e6228409ac85ea3
19c2decfa7271fa30e48d4750c1d18c1
27ef6917fe32685fdf9b755eb8e97565
2aaa3f1859102aab35519f0d4c1585dd
2b678c0f59924ca90a753daa881e9fd3
4168ff8b0a3e2f7e9c96afb653d42a01
4222492e069ac78a55d3451f4b9b9fca
42ea65fda0f92bbeca5f4535155125c7
6097d030fe6f05ec0249e4d87b6be4a6
62fba369711087ea37ef0b0ab62f3372
7457dc037c4a5f3713d9243a0dfb1a2c
7b6d02a459fdaa4caa1a5bf741c4bd42
87429e9223d45e0359cd1c41c0301836
88f183304b99c897aacfa321d58e1840
8d4af59eebdcda10f3c88049bb097a3a
9360a895837177d8a23b2e3f79508059
9e75705b4930f50502bcbd740fc3ece1
a67cf9add2905c11f5c466bc01d554b0
b532f3dcc788896c4844f36eb6cee3d1
b97abf7b17aeb4fa661594a4a1e5c77f
c8e7b0d3b6afa22e801cacaf16b37355
d67abe980a397a94e1715df6e64eedc8
dc636da03e807258d2a10825780b4639
e4a6d47e9e60e4c858c1314d263aa317
http://ai.aerosp.p-e.kr/index.php
http://ai.bananat.p-e.kr/index.php
http://ai.daysol.p-e.kr/index.php
http://ai.kimyy.p-e.kr/index.php
http://ai.kostin.p-e.kr/index.php
http://ai.limsjo.p-e.kr/index.php
http://ai.negapa.p-e.kr/index.php
http://ai.selecto.p-e.kr/index.php
http://ai.ssungmin.p-e.kr/index.php
http://ar.kostin.p-e.kr/index.php
http://ca.bananat.p-e.kr/index.php
http://ce.aerosp.p-e.kr/index.php
http://coolsystem.co.kr/admin/mail/index.php
http://dl.netup.p-e.kr/index.php
http://li.ssungmin.p-e.kr/index.php
http://ol.negapa.p-e.kr/index.php
http://pe.daysol.p-e.kr/index.php
http://pi.selecto.p-e.kr/index.php
http://qa.jaychoi.p-e.kr/index.php
http://qi.limsjo.p-e.kr/index.php
http://sa.netup.p-e.kr/index.php
http://ve.kimyy.p-e.kr/index.php
http://viewer.appofficer.kro.kr/index.php