수입 신고서를 위장하여 국내 연구 기관을 노리는 Kimsuky
Contents
AhnLab Security Emergency response Center(ASEC)은 최근 Kimsuky 공격 그룹에 의해 수입 신고서를 위장한 악성 JSE 파일이 국내 연구 기관을 대상으로 유포되고 있음을 확인하였다. 공격자는 최종적으로 백도어를 활용하여 정보 탈취 및 명령을 수행한다.
수입 신고서를 위장한 드롭퍼 파일명은 아래와 같다.
- 수입신고서_날인.jse
파일 내부에는 난독화 된 파워쉘 스크립트, Base64 인코딩된 백도어 파일 및 정상 PDF가 존재한다.
파워쉘 스크립트에 의해 ‘수입신고서.PDF’ 파일명으로 정상 PDF가 저장되어 자동 실행되며, 파일 내부에는 공격 대상의 정보가 포함되어 있다. 정상 PDF를 생성 및 실행함으로써 사용자들에게 악성의 백도어 파일이 실행되고 있음을 인지하기 어렵게 하는 것으로 추정된다.
백그라운드에서는 %ProgramData% 경로에 ‘vuVvMKg.i3IO’의 파일명으로 백도어를 생성하고, rundll32.exe를 활용하여 악성코드를 실행시킨다.
- powershell.exe -windowstyle hidden rundll32.exe ProgramData\\vuVuMKg.i3IO UpdateSystem
실행된 악성코드는 지속성 유지를 위해 %ProgramData%경로와 %Public%경로에 ‘IconCache.db’의 파일명으로 복사 후, 작업 스케줄 등록을 수행한다.
- cmd.exe /c schtasks /create /tn iconcache /tr “rundll32.exe C:\Programdata\IconCache.db UpdateSystem /sc onlogon /rl highest /f
백도어는 시스템 정보 탈취를 위해 wmic 명령어를 통해 공격 대상의 AntiVirus 상태를 확인하고, ipconfig 명령어를 통해 네트워크 정보를 수집한다.
- cmd.exe /U /c …
수입 신고서를 위장한 드롭퍼 파일명은 아래와 같다.
- 수입신고서_날인.jse
파일 내부에는 난독화 된 파워쉘 스크립트, Base64 인코딩된 백도어 파일 및 정상 PDF가 존재한다.
파워쉘 스크립트에 의해 ‘수입신고서.PDF’ 파일명으로 정상 PDF가 저장되어 자동 실행되며, 파일 내부에는 공격 대상의 정보가 포함되어 있다. 정상 PDF를 생성 및 실행함으로써 사용자들에게 악성의 백도어 파일이 실행되고 있음을 인지하기 어렵게 하는 것으로 추정된다.
백그라운드에서는 %ProgramData% 경로에 ‘vuVvMKg.i3IO’의 파일명으로 백도어를 생성하고, rundll32.exe를 활용하여 악성코드를 실행시킨다.
- powershell.exe -windowstyle hidden rundll32.exe ProgramData\\vuVuMKg.i3IO UpdateSystem
실행된 악성코드는 지속성 유지를 위해 %ProgramData%경로와 %Public%경로에 ‘IconCache.db’의 파일명으로 복사 후, 작업 스케줄 등록을 수행한다.
- cmd.exe /c schtasks /create /tn iconcache /tr “rundll32.exe C:\Programdata\IconCache.db UpdateSystem /sc onlogon /rl highest /f
백도어는 시스템 정보 탈취를 위해 wmic 명령어를 통해 공격 대상의 AntiVirus 상태를 확인하고, ipconfig 명령어를 통해 네트워크 정보를 수집한다.
- cmd.exe /U /c …
IoC
d2335df6d17fc7c2a5d0583423e39ff8
d6abeeb469e2417bbcd3c122c06ba099
http://rscnode.dothome.co.kr/index.php
http://rscnode.dothome.co.kr/upload.php
d6abeeb469e2417bbcd3c122c06ba099
http://rscnode.dothome.co.kr/index.php
http://rscnode.dothome.co.kr/upload.php