원자력 발전소 관련 기업 대상으로 AppleSeed 유포
Contents
ASEC 분석팀은 최근 원자력 발전소 관련 기업 대상으로 AppleSeed 악성코드를 유포하는 정황을 확인하였다. AppleSeed는 북한 관련 조직 중 하나인 Kimsuky 에서 사용하는 백도어 악성코드로 여러 기업을 타겟으로 활발히 유포하고 있다.
이번에 ASEC 분석팀에서 확인된 AppleSeed 드롭퍼 파일명은 아래와 같으며, 사용자를 속이기 위하여 이중 확장자를 사용하였다.
- 노**.xls.vbs
- 배치도_고리2호기ISI.pdf.vbs
파일을 실행하면 내부에 있는 인코딩 데이터를 디코딩하여 아래 경로에 파일이 각각 생성된다.
- [vbs 파일과 같은 경로]\노**.xls (정상 엑셀 미끼 파일)
- %ProgramData%\qijWq.rSCKPC.b64 (특정 형태로 인코딩 된 악성 PE 파일)
- %ProgramData%\qijWq.rSCKPC.bat (qijWq.rSCKPC.b64 파일을 디코딩하는 배치 파일)
파일로 출력된 엑셀 파일을 자동으로 실행시켜 사용자가 정상적인 엑셀 문서를 열람한 것처럼 보이도록 하였다. 미끼 엑셀 파일의 본문은 아래와 같으며, 내용에 원자력 발전소 관련 문구가 작성되어 있다.
백그라운드에서는 %ProgramData% 경로에 있는 qijWq.rSCKPC.bat 파일을 실행하여 qijWq.rSCKPC.b64를 디코딩하여 최종적으로 같은 경로에 qijWq.rSCKPC 파일(DLL PE)을 생성한다.
그 후, DLL 파일을 실행하는 프로그램인 regsvr32를 이용하여 드롭된 악성코드를 실행시킨다. 정확한 실행 인자는 아래와 같다.
- regsvr32 /s /i:123579ASDFG C:\ProgramData\qijWq.rSCKPC
해당 파일이 실행된 후, 아래 C2에 접근 후 특정 명령어를 받아와 명령대로 …
이번에 ASEC 분석팀에서 확인된 AppleSeed 드롭퍼 파일명은 아래와 같으며, 사용자를 속이기 위하여 이중 확장자를 사용하였다.
- 노**.xls.vbs
- 배치도_고리2호기ISI.pdf.vbs
파일을 실행하면 내부에 있는 인코딩 데이터를 디코딩하여 아래 경로에 파일이 각각 생성된다.
- [vbs 파일과 같은 경로]\노**.xls (정상 엑셀 미끼 파일)
- %ProgramData%\qijWq.rSCKPC.b64 (특정 형태로 인코딩 된 악성 PE 파일)
- %ProgramData%\qijWq.rSCKPC.bat (qijWq.rSCKPC.b64 파일을 디코딩하는 배치 파일)
파일로 출력된 엑셀 파일을 자동으로 실행시켜 사용자가 정상적인 엑셀 문서를 열람한 것처럼 보이도록 하였다. 미끼 엑셀 파일의 본문은 아래와 같으며, 내용에 원자력 발전소 관련 문구가 작성되어 있다.
백그라운드에서는 %ProgramData% 경로에 있는 qijWq.rSCKPC.bat 파일을 실행하여 qijWq.rSCKPC.b64를 디코딩하여 최종적으로 같은 경로에 qijWq.rSCKPC 파일(DLL PE)을 생성한다.
그 후, DLL 파일을 실행하는 프로그램인 regsvr32를 이용하여 드롭된 악성코드를 실행시킨다. 정확한 실행 인자는 아래와 같다.
- regsvr32 /s /i:123579ASDFG C:\ProgramData\qijWq.rSCKPC
해당 파일이 실행된 후, 아래 C2에 접근 후 특정 명령어를 받아와 명령대로 …
IoC
55a9a935b36da90fb5a7ab814d567a40
ba83312ea92c284c710bcc0906a29fb1
http://ndt.info.gf/index.php
ba83312ea92c284c710bcc0906a29fb1
http://ndt.info.gf/index.php