킴수키(Kimsuky)조직의 'Mail Online Security' 프로그램 위장 공격 주의!
Contents
킴수키(Kimsuky)조직의 'Mail Online Security' 프로그램 위장 공격 주의!
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다.
최근, 북한 정부의 지원을 받는 것으로 알려진 킴수키(Kimsuky) 조직이 정상적인 보안 설치 프로그램으로 위장한 악성파일 유포 공격이 포착되어 각별한 주의가 필요합니다. 분석결과, 이번 공격은 국가사이버안보센터(NCSC) 합동분석협의체가 지난 9일 공개한 '한국인터넷진흥원(KISA) 보안업데이트를 위장한 악성코드 유포 주의!' 의 변종으로 확인되었습니다.
악성 파일은 setup이름의 iso 파일로 위장하여 유포되며, 내부에는 setup.exe 파일이 포함되어 있습니다. 악성 파일은 방패 모양 아이콘과 'setup.exe' 파일명 그리고 'Mail Online Security' 파일 속성을 가지고 있어 마치 정상 보안프로그램처럼 오인하도록 유도합니다.
사용자가 파일을 실행하면, Mail Online Security를 설치창을 보여주며 정상 보안프로그램 설치파일인 것 처럼 위장합니다. 하지만 백그라운드에서는 ‘unrar.exe’를 통해서 ‘plugins.rar’를 ‘123qwe!’로 패스워드로 압축을 해제 (nos_mon.dll, nos.dll)하고 dll 파일들을 실행합니다.
dll 파일들의 기능은 다음과 같습니다.
|파일명||기능|
|nos_mon.dll||현재 열려진 Chrome.exe 에 페이로드 Dll Injection|
|nos.dll||Dll 하이재킹을 통해서 악성 페이로드를 실행하며, 아래 절차에 따라 진행
|
1) ‘C:\Program Files\Chrome’ 경로를 ‘C:\ProgramData\Chrome’로 복사
2) 리소스에 있는 최종 페이로드를 chrome.exe가 위치한 곳에 ‘version.dll’로 복사
3) 윈도우 폴더에서 ‘version.dll’을 위 크롬 실행 파일 경로의 ‘versions.dll’ 이름으로 …
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다.
최근, 북한 정부의 지원을 받는 것으로 알려진 킴수키(Kimsuky) 조직이 정상적인 보안 설치 프로그램으로 위장한 악성파일 유포 공격이 포착되어 각별한 주의가 필요합니다. 분석결과, 이번 공격은 국가사이버안보센터(NCSC) 합동분석협의체가 지난 9일 공개한 '한국인터넷진흥원(KISA) 보안업데이트를 위장한 악성코드 유포 주의!' 의 변종으로 확인되었습니다.
악성 파일은 setup이름의 iso 파일로 위장하여 유포되며, 내부에는 setup.exe 파일이 포함되어 있습니다. 악성 파일은 방패 모양 아이콘과 'setup.exe' 파일명 그리고 'Mail Online Security' 파일 속성을 가지고 있어 마치 정상 보안프로그램처럼 오인하도록 유도합니다.
사용자가 파일을 실행하면, Mail Online Security를 설치창을 보여주며 정상 보안프로그램 설치파일인 것 처럼 위장합니다. 하지만 백그라운드에서는 ‘unrar.exe’를 통해서 ‘plugins.rar’를 ‘123qwe!’로 패스워드로 압축을 해제 (nos_mon.dll, nos.dll)하고 dll 파일들을 실행합니다.
dll 파일들의 기능은 다음과 같습니다.
|파일명||기능|
|nos_mon.dll||현재 열려진 Chrome.exe 에 페이로드 Dll Injection|
|nos.dll||Dll 하이재킹을 통해서 악성 페이로드를 실행하며, 아래 절차에 따라 진행
|
1) ‘C:\Program Files\Chrome’ 경로를 ‘C:\ProgramData\Chrome’로 복사
2) 리소스에 있는 최종 페이로드를 chrome.exe가 위치한 곳에 ‘version.dll’로 복사
3) 윈도우 폴더에서 ‘version.dll’을 위 크롬 실행 파일 경로의 ‘versions.dll’ 이름으로 …
IoC
042fb52b45f396d7792785d5b2cf0865
3c165e9f3b996ac5895e2e4aa223ff77
88d09f09a3b717fee194f7b13186a215
e8c32a91d00c6dc1eda38efdfdd9a05f
eb063fe691240f22acd8921f47609a3c
3c165e9f3b996ac5895e2e4aa223ff77
88d09f09a3b717fee194f7b13186a215
e8c32a91d00c6dc1eda38efdfdd9a05f
eb063fe691240f22acd8921f47609a3c