lazarusholic

2023-06-16, Ahnlab
https://asec.ahnlab.com/ko/54473/
#Kimsuky

AhnLab Security Emergency response Center(ASEC)에서는 CHM, OneNote 등의 파일 형식으로 유포되던 악성코드가 최근 실행 파일 형식으로 유포되는 것을 확인하였다. 악성코드에서 사용된 단어 및 실행되는 스크립트 코드가 이전에 분석한 코드와 유사한 것으로 보아 동일한 공격 그룹(Kimsuky)에서 제작한 것으로 추정된다.
- Kimsuky 그룹 유포 악성코드 분석 보고서 – 2022.10.20
- 사례비 지급 내용으로 위장한 OneNote 악성코드 (Kimsuky) – 2023.03.20
- 대북 관련 질문지를 위장한 CHM 악성코드 (Kimsuky) – 2023.03.08
- 다양한 주제의 보도자료를 사칭한 Kimsuky 공격시도 – 2022.05.18
- 대북관련 원고 요구사항을 가장한 APT 공격시도 (Kimsuky) – 2022.02.14
확인된 악성코드는 압축파일 형태로 유포되며 내부에 readme.txt와 함께 한글 문서 확장자로 위장한 실행 파일이 존재한다.
readme.txt 파일에는 아래와 같이 악성 EXE 파일(개인정보유출내역.hwp.exe)의 실행을 유도하는 문구가 포함되어 있다. 악성 EXE 파일은 닷넷(.NET)으로 컴파일되었으며 한글 문서 아이콘을 사용하여 문서 파일처럼 보이도록 위장하였다. 또한, 확장자가 제대로 보이지 않도록 파일명에 공백을 다수 삽입하였다.
위 EXE 파일 내부에는 Base64로 인코딩된 파워쉘 명령어가 존재한다. 따라서 파일 실행 시 이를 디코딩하여 %APPDATA% 폴더에 update.vbs 파일로 저장하고 파워쉘을 통해 생성한 …

73174c9d586531153a5793d050a394a8
8133c5f663f89b01b30a052749b5a988
91029801f6f3a415392ccfee8226be67
ec1b518541228072eb75463ce15c7bce
f05991652398406655a6a5eebe3e5f3a
http://well-story.co.kr/adm/inc/js/lib.php?idx=1
http://well-story.co.kr/adm/inc/js/lib.php?idx=5
http://well-story.co.kr/adm/inc/js/list.php?query=1
http://well-story.co.kr/adm/inc/js/list.php?query=6
http://well-story.co.kr/adm/inc/js/show.php