탄소배출 전문기업 타겟 워드문서 공격
Contents
탄소배출 전문기업 타겟 워드문서 공격
ASEC 분석팀은 03월 18일 탄소배출 전문기업을 대상으로 문서형 APT 공격을 수행하는 정황을 포착하였다. 자사 ASD(AhnLab Smart Defense)에 수집된 로그에 따르면 피해 PC는 “ㅇㅇ ㅇㅇ 탄소 배출권 전문 연구소.doc”라는 악성 워드 문서를 웹 브라우저를 통해 다운로드한 것으로 추정된다.
악성 문서는 확보하지 못했지만 내부 매크로 코드에 의해 wscript.exe가 실행되는 구조로 추정된다. 확인된 wscript.exe 실행 인자는 다음과 같다.
- wscript.exe %AppData%\Microsoft\Templates\version.ini
이러한 형태의 실행 인자 구동방식은 과거 해당 공격 그룹이 사용했던 방식과 일치한다. 과거 사례에서는 VBS 코드로 이루어진 version.ini가 실행되면 감염 PC에 작업 스케줄러를 생성하고 추가 페이로드를 공격자 C&C 서버로부터 전달받아 이후 악성행위를 수행하였다. 이번 공격에서도 마찬가지로 유사한 방식으로 추가 공격이 수행된 것으로 보인다.
이번 사례의 추가 공격은 감염 PC에 Gold Dragon 악성코드 실행으로 이루어졌다. 공격자는 %HomePath% 경로에 “wieb.dat” 파일명으로 Gold Dragon을 설치하는 DLL을 생성 및 실행한 것으로 추정된다.
실행된 Gold Dragon은 아래 ASEC 블로그를 통해 언급한 것과 기능이 유사하다.
Kimsuky 그룹의 xRAT(Quasar RAT) 유포 정황 – ASEC BLOG
2022년 1월 26일 ASEC 분석팀은 Kimsuky 공격 …
ASEC 분석팀은 03월 18일 탄소배출 전문기업을 대상으로 문서형 APT 공격을 수행하는 정황을 포착하였다. 자사 ASD(AhnLab Smart Defense)에 수집된 로그에 따르면 피해 PC는 “ㅇㅇ ㅇㅇ 탄소 배출권 전문 연구소.doc”라는 악성 워드 문서를 웹 브라우저를 통해 다운로드한 것으로 추정된다.
악성 문서는 확보하지 못했지만 내부 매크로 코드에 의해 wscript.exe가 실행되는 구조로 추정된다. 확인된 wscript.exe 실행 인자는 다음과 같다.
- wscript.exe %AppData%\Microsoft\Templates\version.ini
이러한 형태의 실행 인자 구동방식은 과거 해당 공격 그룹이 사용했던 방식과 일치한다. 과거 사례에서는 VBS 코드로 이루어진 version.ini가 실행되면 감염 PC에 작업 스케줄러를 생성하고 추가 페이로드를 공격자 C&C 서버로부터 전달받아 이후 악성행위를 수행하였다. 이번 공격에서도 마찬가지로 유사한 방식으로 추가 공격이 수행된 것으로 보인다.
이번 사례의 추가 공격은 감염 PC에 Gold Dragon 악성코드 실행으로 이루어졌다. 공격자는 %HomePath% 경로에 “wieb.dat” 파일명으로 Gold Dragon을 설치하는 DLL을 생성 및 실행한 것으로 추정된다.
실행된 Gold Dragon은 아래 ASEC 블로그를 통해 언급한 것과 기능이 유사하다.
Kimsuky 그룹의 xRAT(Quasar RAT) 유포 정황 – ASEC BLOG
2022년 1월 26일 ASEC 분석팀은 Kimsuky 공격 …