lazarusholic

Everyday is lazarus.dayβ

북한 특정 탈북민으로 위장한 APT 공격 주의

2023-05-19, Hauri
https://hauri.co.kr/security/issue_view.html?intSeq=420&page=1&article_num=331
#Kimsuky #CHM

Contents

□ 개요
북한 특정 탈북민으로 위장하여 북한인권시민단체를 대상으로 악성메일이 발송된 정황이 발견되어 주의가 필요하다.
□ 내용
해당 악성메일은 수신인을 속이려고 ‘북한인권단체 활동의 어려움과 활성화 방안’ 이라는 주제의 첨부파일(.chm)을 악성 메일에 첨부했다. 발신인이 북한 특정 탈북민이며, 참고자료로 위장하여 보낸 메일이기 때문에 수신인이 아무 의심 없이 첨부파일을 실행하여 악성코드에 감염되었을 가능성이 높다.
악성메일의 첨부파일은 ‘북한인권단체 활동의 어려움과 활성화 방안 OOO대표.zip’ 이며, 해당 압축파일을 해제할 경우 윈도우 도움말 파일인 ‘북한인권단체 활동의 어려움과 활성화 방안 OOO대표.chm’ 파일이 생성된다.
도움말 파일 실행 시 숨겨진 스크립트가 실행되는데 소스 코드를 보면 인코딩된 악성스크립트 문자열을 디코딩하여 mini.dat, mini.vbs로 저장한 뒤, 자동 실행 되도록 레지스트리에 등록한다.
C&C 는 차단되어 접속이 불가능하다.
□ 바이로봇 업데이트 내역
- EML.S.Phishing
- CHM.S.Dropper
- VBS.S.Downloader

IoC

□ 개요
북한 특정 탈북민으로 위장하여 북한인권시민단체를 대상으로 악성메일이 발송된 정황이 발견되어 주의가 필요하다.
□ 내용
해당 악성메일은 수신인을 속이려고 ‘북한인권단체 활동의 어려움과 활성화 방안’ 이라는 주제의 첨부파일(.chm)을 악성 메일에 첨부했다. 발신인이 북한 특정 탈북민이며, 참고자료로 위장하여 보낸 메일이기 때문에 수신인이 아무 의심 없이 첨부파일을 실행하여 악성코드에 감염되었을 가능성이 높다.
악성메일의 첨부파일은 ‘북한인권단체 활동의 어려움과 활성화 방안 OOO대표.zip’ 이며, 해당 압축파일을 해제할 경우 윈도우 도움말 파일인 ‘북한인권단체 활동의 어려움과 활성화 방안 OOO대표.chm’ 파일이 생성된다.
도움말 파일 실행 시 숨겨진 스크립트가 실행되는데 소스 코드를 보면 인코딩된 악성스크립트 문자열을 디코딩하여 mini.dat, mini.vbs로 저장한 뒤, 자동 실행 되도록 레지스트리에 등록한다.
C&C 는 차단되어 접속이 불가능하다.
□ 바이로봇 업데이트 내역
- EML.S.Phishing
- CHM.S.Dropper
- VBS.S.Downloader