특정 군부대 유지보수 업체 대상으로 AppleSeed 유포
Contents
ASEC 분석팀은 최근 특정 군부대 유지보수 업체 대상으로 AppleSeed 악성코드를 유포하는 정황을 포착하였다. AppleSeed 악성코드는 Kimsuky 조직에서 주로 사용되는 백도어성 악성코드로 최근 여러 대상을 타깃으로 활발히 유포하고 있다.
이번에는 특정 군부대의 이름이 담긴 아래와 같은 파일명으로 악성코드 유포가 이루어졌다.
- 20220713_****부대_설치 예상 일정V004_***시스 수정_6.xls
최초 엑셀 문서 형태(XLS)로 유포가 이루어졌으며, 백신을 우회하기 위해서인지 엑셀 파일은 암호로 보호되고 있다.
해당 문서 파일을 실행하면 [그림 2]와 같이 콘텐츠 사용 버튼을 클릭하도록 유도하는 내용이 쓰여있으며, 콘텐츠 사용 버튼을 클릭하면 매크로에 의하여 [그림 3]으로 본문이 바뀌게 된다.
매크로 내용을 확인해보면, 실제 엑셀 본문은 보이도록, 매크로 실행을 허용하도록 안내하는 문구는 숨김 처리하며, mshta를 이용하여 특정 C2에서 추가 스크립트를 다운로드 받아 실행한다.
추가 스크립트는 AppleSeed를 다운로드 받아 실행하는 루틴이 담겨져 있으며, 아래 경로에 저장되어 실행된다.
- 경로 : %ProgramData%\Software\ControlSet\Service\ServiceScheduler.dll
- 실행 인자 : regsvr32.exe /s /n /i:12345QWERTY [AppleSeed 경로]
AppleSeed가 실행되면 지속적으로 C2 서버로부터 명령을 받은 후, 추가 모듈을 다운로드 받아 실행하거나 공격자가 원하는 행위를 일으킬 수 있다. AppleSeed에 대한 추가적인 상세한 분석 정보는 여기를 …
이번에는 특정 군부대의 이름이 담긴 아래와 같은 파일명으로 악성코드 유포가 이루어졌다.
- 20220713_****부대_설치 예상 일정V004_***시스 수정_6.xls
최초 엑셀 문서 형태(XLS)로 유포가 이루어졌으며, 백신을 우회하기 위해서인지 엑셀 파일은 암호로 보호되고 있다.
해당 문서 파일을 실행하면 [그림 2]와 같이 콘텐츠 사용 버튼을 클릭하도록 유도하는 내용이 쓰여있으며, 콘텐츠 사용 버튼을 클릭하면 매크로에 의하여 [그림 3]으로 본문이 바뀌게 된다.
매크로 내용을 확인해보면, 실제 엑셀 본문은 보이도록, 매크로 실행을 허용하도록 안내하는 문구는 숨김 처리하며, mshta를 이용하여 특정 C2에서 추가 스크립트를 다운로드 받아 실행한다.
추가 스크립트는 AppleSeed를 다운로드 받아 실행하는 루틴이 담겨져 있으며, 아래 경로에 저장되어 실행된다.
- 경로 : %ProgramData%\Software\ControlSet\Service\ServiceScheduler.dll
- 실행 인자 : regsvr32.exe /s /n /i:12345QWERTY [AppleSeed 경로]
AppleSeed가 실행되면 지속적으로 C2 서버로부터 명령을 받은 후, 추가 모듈을 다운로드 받아 실행하거나 공격자가 원하는 행위를 일으킬 수 있다. AppleSeed에 대한 추가적인 상세한 분석 정보는 여기를 …
IoC
1ac5b803205b1c3464941df2c21958e7
a3786f14c85842861aa3493ec30be949
http://hime.dothome.co.kr/exchange/
http://sign.dothome.co.kr/login/
a3786f14c85842861aa3493ec30be949
http://hime.dothome.co.kr/exchange/
http://sign.dothome.co.kr/login/