.hta 파일로 유포중인 KimJongRAT 주의!
Contents
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
KimJongRAT은 북한 배후로 추정되는 Kimsuky 그룹과 연관된 것으로 알려진 원격 액세스 트로이 목마(RAT) 로, 최근 .hta 파일을 통해 KimJongRAT이 유포되고 있는 것을 확인하였습니다.
이번에 발견된 파일은 국세 고지서.pdf(tax_notice).zip 파일명으로 유포되었으며, 피싱 메일을 통해 최초 유포된 것으로 추정되고 있습니다.
국세 고지서.pdf(tax_notice).zip 내에는 국세고지서.pdf 파일을 위장한 lnk 파일이 포함되어 있습니다.
사용자가 해당 lnk 파일을 실행하면, 내부에 Base64로 인코딩된 URL 값을 복호화한 뒤 mshta를 사용해 해당 링크에 접속하고, 이후 추가 페이로드를 다운로드합니다.
최종 리디렉션 된 URL에서는 tax.hta 파일을 다운로드 받은 후 실행합니다.
.hta 파일은 VBScript 구현된 로더로, 실행 후에는 디코이 파일과 함께 추가 악성파일을 다운받습니다. 이 과정에서 Google Drive URL을 사용하여 보안프로그램의 탐지 우회를 시도합니다.
이번 공격은 Windows Defender의 상태를 체크하고, Windows Defender에 따라 각기 다른 페이로드를 내려주는 특징이 있습니다.
사용자 PC의 Windows Defender가 비활성화 상태일 경우,v3.log 파일을 내려받습니다. 이 파일은 최종적으로 net64.log 파일을 내려받아 실행하며, 해당 파일은 시스템 정보 및 브라우저 저장 데이터, 브라우저 암호화 키, 암호화폐 지갑 정보, 텔레그램(특정 계정), 디스코드, NPKI/GPKI 인증서등 다양한 정보를 …
KimJongRAT은 북한 배후로 추정되는 Kimsuky 그룹과 연관된 것으로 알려진 원격 액세스 트로이 목마(RAT) 로, 최근 .hta 파일을 통해 KimJongRAT이 유포되고 있는 것을 확인하였습니다.
이번에 발견된 파일은 국세 고지서.pdf(tax_notice).zip 파일명으로 유포되었으며, 피싱 메일을 통해 최초 유포된 것으로 추정되고 있습니다.
국세 고지서.pdf(tax_notice).zip 내에는 국세고지서.pdf 파일을 위장한 lnk 파일이 포함되어 있습니다.
사용자가 해당 lnk 파일을 실행하면, 내부에 Base64로 인코딩된 URL 값을 복호화한 뒤 mshta를 사용해 해당 링크에 접속하고, 이후 추가 페이로드를 다운로드합니다.
최종 리디렉션 된 URL에서는 tax.hta 파일을 다운로드 받은 후 실행합니다.
.hta 파일은 VBScript 구현된 로더로, 실행 후에는 디코이 파일과 함께 추가 악성파일을 다운받습니다. 이 과정에서 Google Drive URL을 사용하여 보안프로그램의 탐지 우회를 시도합니다.
이번 공격은 Windows Defender의 상태를 체크하고, Windows Defender에 따라 각기 다른 페이로드를 내려주는 특징이 있습니다.
사용자 PC의 Windows Defender가 비활성화 상태일 경우,v3.log 파일을 내려받습니다. 이 파일은 최종적으로 net64.log 파일을 내려받아 실행하며, 해당 파일은 시스템 정보 및 브라우저 저장 데이터, 브라우저 암호화 키, 암호화폐 지갑 정보, 텔레그램(특정 계정), 디스코드, NPKI/GPKI 인증서등 다양한 정보를 …