정상 문서 파일로 위장한 악성 코드 유포 (Kimsuky 그룹)
Contents
정상 문서 파일로 위장한 악성 코드 유포 (Kimsuky 그룹)
ASEC 분석팀은 지난 8월 20일부터 Kimsuky 그룹의 공격 정황을 다수 확인하였다. 파일명에 docx, pdf, txt 등 문서 확장자를 포함한 정상 파일로 위장하여 유포 중이며, 해당 악성코드는 정상 파일 드롭 및 실행, 감염 PC 정보 탈취, 추가 악성코드 다운로드를 수행한다. 해당 방식은 Kimsuky 그룹이 자주 사용하는 위장 방식과 동작 방식으로 국내 정부기관, 대학 교수 등을 대상으로 하는 APT 공격에 사용된다.
- 유포 파일명
| 유포 날짜 | 유포 파일명 |
| 2020/08/20 | 4.[아태연구]논문투고규정.docx.exe |
| 2020/08/26 | Button01_[2020 서울안보대화] 모시는 글.pdf.exe |
| 2020/09/03 | [양식] 개인정보이용동의서.txt.exe |
해당 악성코드 유형은 리소스 영역에 암호화된 데이터를 포함하고 있으며, 실행시 디코딩 과정을 수행한다. 디코딩된 데이터는 정상 문서 파일이며 TEMP 폴더에 드롭 후 실행하여 사용자가 악성 행위를 인지하지 못하도록 한다. 문서 정보와 내용은 아래와 같다.
- 4.[아태연구]논문투고규정.docx
문서 내용 (1)
문서 정보
- [양식] 개인정보이용동의서.txt
문서 내용 (2)
문서 파일 실행 후 사용자 PC 정보를 수집하며 “C:Users[사용자명]AppDataRoamingMicrosoftHNC” 경로 내 docx 파일을 생성하여 감염 PC 정보를 저장한다. 수집하는 …
ASEC 분석팀은 지난 8월 20일부터 Kimsuky 그룹의 공격 정황을 다수 확인하였다. 파일명에 docx, pdf, txt 등 문서 확장자를 포함한 정상 파일로 위장하여 유포 중이며, 해당 악성코드는 정상 파일 드롭 및 실행, 감염 PC 정보 탈취, 추가 악성코드 다운로드를 수행한다. 해당 방식은 Kimsuky 그룹이 자주 사용하는 위장 방식과 동작 방식으로 국내 정부기관, 대학 교수 등을 대상으로 하는 APT 공격에 사용된다.
- 유포 파일명
| 유포 날짜 | 유포 파일명 |
| 2020/08/20 | 4.[아태연구]논문투고규정.docx.exe |
| 2020/08/26 | Button01_[2020 서울안보대화] 모시는 글.pdf.exe |
| 2020/09/03 | [양식] 개인정보이용동의서.txt.exe |
해당 악성코드 유형은 리소스 영역에 암호화된 데이터를 포함하고 있으며, 실행시 디코딩 과정을 수행한다. 디코딩된 데이터는 정상 문서 파일이며 TEMP 폴더에 드롭 후 실행하여 사용자가 악성 행위를 인지하지 못하도록 한다. 문서 정보와 내용은 아래와 같다.
- 4.[아태연구]논문투고규정.docx
문서 내용 (1)
문서 정보
- [양식] 개인정보이용동의서.txt
문서 내용 (2)
문서 파일 실행 후 사용자 PC 정보를 수집하며 “C:Users[사용자명]AppDataRoamingMicrosoftHNC” 경로 내 docx 파일을 생성하여 감염 PC 정보를 저장한다. 수집하는 …
IoC
http://upgrad.atwebpages.com/img/png/post.php
http://pingguo2.atwebpages.com/home/jpg/download.php?filename=button01
http://pingguo2.atwebpages.com/home/jpg/post.php
http://portable.epizy.com/img/png/download.png/?filename=images0
http://pingguo2.atwebpages.com/home/jpg/download.php?filename=button01
http://pingguo2.atwebpages.com/home/jpg/post.php
http://portable.epizy.com/img/png/download.png/?filename=images0