탈북자 이력서 양식을 가장한 APT 공격 (VBS 스크립트)
Contents
탈북자 이력서 양식을 가장한 APT 공격 (VBS 스크립트)
ASEC 분석팀은 최근 대북 관련 내용의 피싱 메일을 통해 정보 유출 목적의 악성 VBS가 유포되고 있음을 확인하였다. 대북 관련 방송의 섭외 내용을 담고 있으며 압축 파일이 첨부되어 있다. 이력서 작성을 언급하여 첨부된 파일의 실행을 유도한다. 압축 파일 내부에는 악성 VBS 스크립트 파일이 존재한다.
‘2022 이력서 양식.vbs’ 파일의 간략한 행위는 다음과 같다.
- 정보 수집 및 전송
- 정상 한글 파일 생성
- 추가 악성 스크립트 파일 생성 및 작업 스케줄러 등록
VBS 파일 실행 시 아래의 명령어를 통해 사용자 PC의 정보를 수집한다.
| 수집 정보 | 명령어 |
|---|---|
| 현재 실행중인 프로세스 목록 | cmd /c tasklist /v | clip |
| 라우팅 테이블 정보 | cmd /c Route print | clip |
| Program Files 폴더 정보 | cmd /c dir /w “”%SystemRoot%/../Program Files”” | clip |
| Program Files (x86) 폴더 정보 | cmd /c dir /w “”%SystemRoot%/../Program Files (x86)”” | clip |
표1. 수집 정보
이후 수집한 정보를 Base64로 인코딩 한 후 …
ASEC 분석팀은 최근 대북 관련 내용의 피싱 메일을 통해 정보 유출 목적의 악성 VBS가 유포되고 있음을 확인하였다. 대북 관련 방송의 섭외 내용을 담고 있으며 압축 파일이 첨부되어 있다. 이력서 작성을 언급하여 첨부된 파일의 실행을 유도한다. 압축 파일 내부에는 악성 VBS 스크립트 파일이 존재한다.
‘2022 이력서 양식.vbs’ 파일의 간략한 행위는 다음과 같다.
- 정보 수집 및 전송
- 정상 한글 파일 생성
- 추가 악성 스크립트 파일 생성 및 작업 스케줄러 등록
VBS 파일 실행 시 아래의 명령어를 통해 사용자 PC의 정보를 수집한다.
| 수집 정보 | 명령어 |
|---|---|
| 현재 실행중인 프로세스 목록 | cmd /c tasklist /v | clip |
| 라우팅 테이블 정보 | cmd /c Route print | clip |
| Program Files 폴더 정보 | cmd /c dir /w “”%SystemRoot%/../Program Files”” | clip |
| Program Files (x86) 폴더 정보 | cmd /c dir /w “”%SystemRoot%/../Program Files (x86)”” | clip |
표1. 수집 정보
이후 수집한 정보를 Base64로 인코딩 한 후 …
IoC
http://cmaildowninvoice.webcindario.com/contri/sqlite/msgbugGlog.php?Cache=fail&Sand=[PC
http://fserverone.webcindario.com/contri/sqlite/msgbugPlog.php
http://fserverone.webcindario.com/contri/sqlite/msgbugPlog.php