사용자 정보를 탈취하는 CHM 악성코드 국내 유포
Contents
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 사용자 정보를 탈취하는 CHM 악성코드가 국내 사용자를 대상으로 유포 중인 정황을 확인하였다. 유포 중인 CHM 은 과거부터 LNK, DOC, OneNote 등 다양한 포맷을 통해 꾸준히 유포되던 유형으로, 최근 동작 과정에 약간의 변화가 확인되었다.
- 연관 게시글
(2023.06.16) 한글 문서 파일을 위장한 악성코드(Kimsuky)
(2023.03.20) 사례비 지급 내용으로 위장한 OneNote 악성코드 (Kimsuky)
(2023.03.08) 대북 관련 질문지를 위장한 CHM 악성코드 (Kimsuky)
(2022.05.18) 다양한 주제의 보도자료를 사칭한 Kimsuky 공격시도
전체적인 실행 과정은 [그림 1]과 같다. 다수의 스크립트를 통해 최종적으로 사용자 정보 및 키로그 데이터를 공격자에게 전송하는 유형으로, 각 실행 과정은 아래에서 소개한다.
1. CHM
CHM 실행 시, 생성되는 도움말 창은 [그림 2]와 같으며 과거에 이용했던 문구를 그대로 사용한 것으로 보인다. 이때 CHM 내 존재하는 악성 스크립트가 함께 실행되며, 해당 스크립트는 “%USERPROFILE%\Links\Link.ini” 경로에 파일을 생성 후 실행하는 기능을 수행한다.
2. Link.ini
Link.ini 파일은 스크립트 파일로, 특정 URL 에 접속하여 추가 스크립트를 실행한다. 기존에는 접속하는 URL 의 형태가 “list.php?query=1” 으로 사용되어 왔으나, 해당 파일에서는 “bootservice.php?query=1” 으로 변경되었다.
3. bootservice.php?query=1 (Fileless)
해당 URL 에는 …
- 연관 게시글
(2023.06.16) 한글 문서 파일을 위장한 악성코드(Kimsuky)
(2023.03.20) 사례비 지급 내용으로 위장한 OneNote 악성코드 (Kimsuky)
(2023.03.08) 대북 관련 질문지를 위장한 CHM 악성코드 (Kimsuky)
(2022.05.18) 다양한 주제의 보도자료를 사칭한 Kimsuky 공격시도
전체적인 실행 과정은 [그림 1]과 같다. 다수의 스크립트를 통해 최종적으로 사용자 정보 및 키로그 데이터를 공격자에게 전송하는 유형으로, 각 실행 과정은 아래에서 소개한다.
1. CHM
CHM 실행 시, 생성되는 도움말 창은 [그림 2]와 같으며 과거에 이용했던 문구를 그대로 사용한 것으로 보인다. 이때 CHM 내 존재하는 악성 스크립트가 함께 실행되며, 해당 스크립트는 “%USERPROFILE%\Links\Link.ini” 경로에 파일을 생성 후 실행하는 기능을 수행한다.
2. Link.ini
Link.ini 파일은 스크립트 파일로, 특정 URL 에 접속하여 추가 스크립트를 실행한다. 기존에는 접속하는 URL 의 형태가 “list.php?query=1” 으로 사용되어 왔으나, 해당 파일에서는 “bootservice.php?query=1” 으로 변경되었다.
3. bootservice.php?query=1 (Fileless)
해당 URL 에는 …
IoC
b2c74dbf20824477c3e139b48833041b