Kimsuky 그룹의 워터링 홀 공격, 통일 분야 교육 지원서를 위장한 악성 파일 유포 주의
Contents
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
국내 유명 대학에서 개최하는 통일 분야 교육 프로그램 지원서 파일을 이용한 워터링 홀 공격이 발견되어 관련자분들의 각별한 주의가 필요합니다.
워터링 홀 공격이란?
공격 대상이 자주 방문하는 웹사이트에 미리 악성코드를 심어두고, 대상이 접속할 때를 기다렸다가 감염시키는 공격 기법입니다. 해당 방법은 특정 웹사이트를 방문하는 대상을 노려 효율적으로 감염시킬 수 있다는 점에서 위험성이 높습니다.
이번 공격은 통일 분야 교육 프로그램 수강생을 모집하기 위해 작성된 공지 게시글에 악성 지원서 문서 파일을 업로드하여, 교육 수강 신청을 위해 사이트를 방문한 사용자가 지원서 파일을 다운로드 및 실행하여 악성 파일이 감염되는 방식을 사용하고 있습니다.
공격에 사용된 지원서 파일은 HWP 형식의 문서파일로, 본문 내용에 다운로드 링크로 보여지는 문구가 기재되어 있으며, 링크 클릭 시 외부 링크 주소가 아닌 HWP 파일 내 OLE 개체 형태로 추가된 document.bat 파일이 실행됩니다.
HWP 파일이 동작되면 내부 OLE 객체 기능을 사용하여 [그림 2]와 같이 사용자 %TEMP% 폴더에 다수의 파일을 생성시킵니다.
최초 실행되는 document.bat 파일은 사용자를 속이기 위한 미끼 문서를 실행하고, 자신의 지속성 유지를 위해 작업 스케줄러와 %TEMP% 폴더에 …
국내 유명 대학에서 개최하는 통일 분야 교육 프로그램 지원서 파일을 이용한 워터링 홀 공격이 발견되어 관련자분들의 각별한 주의가 필요합니다.
워터링 홀 공격이란?
공격 대상이 자주 방문하는 웹사이트에 미리 악성코드를 심어두고, 대상이 접속할 때를 기다렸다가 감염시키는 공격 기법입니다. 해당 방법은 특정 웹사이트를 방문하는 대상을 노려 효율적으로 감염시킬 수 있다는 점에서 위험성이 높습니다.
이번 공격은 통일 분야 교육 프로그램 수강생을 모집하기 위해 작성된 공지 게시글에 악성 지원서 문서 파일을 업로드하여, 교육 수강 신청을 위해 사이트를 방문한 사용자가 지원서 파일을 다운로드 및 실행하여 악성 파일이 감염되는 방식을 사용하고 있습니다.
공격에 사용된 지원서 파일은 HWP 형식의 문서파일로, 본문 내용에 다운로드 링크로 보여지는 문구가 기재되어 있으며, 링크 클릭 시 외부 링크 주소가 아닌 HWP 파일 내 OLE 개체 형태로 추가된 document.bat 파일이 실행됩니다.
HWP 파일이 동작되면 내부 OLE 객체 기능을 사용하여 [그림 2]와 같이 사용자 %TEMP% 폴더에 다수의 파일을 생성시킵니다.
최초 실행되는 document.bat 파일은 사용자를 속이기 위한 미끼 문서를 실행하고, 자신의 지속성 유지를 위해 작업 스케줄러와 %TEMP% 폴더에 …
IoC
http://103.149.98.231/pprb/0304_pprb/d.php?newpa=comline
http://rem.zoom-meeting.kro.kr/0829_pprb/d.php?na=view
http://rem.zoom-meeting.kro.kr/0829_pprb/d.php?na=myapp
http://mem.mcgnu.kro.kr/0821_pprbss/d.php?na=app
http://www.elmer.com.tr/modules/mod_finder/src/Helper/1212_pprb_all/dksleks?newpa=comline
http://mem.mcgnu.kro.kr/0821_pprbss/d.php?na=mnfst
9.2.13.9
103.76.228.204
103.149.98.231
CE7FA1DC1E5A776DACB27FE2C4385AC2
49C91F24B6E11773ACD7323612470FFB
34D8C6E9426DC6C01BB47A53EBFC4EFB
4EDAE618F59180577A196FA5BAB89BB4
F7FAF50F954076525E24020E964ED646
E81F06C7C5793C1AFE9A4F847834E69E
7B6B6471072B8F359435F998A96176E7
http://rem.zoom-meeting.kro.kr/0829_pprb/d.php?na=view
http://rem.zoom-meeting.kro.kr/0829_pprb/d.php?na=myapp
http://mem.mcgnu.kro.kr/0821_pprbss/d.php?na=app
http://www.elmer.com.tr/modules/mod_finder/src/Helper/1212_pprb_all/dksleks?newpa=comline
http://mem.mcgnu.kro.kr/0821_pprbss/d.php?na=mnfst
9.2.13.9
103.76.228.204
103.149.98.231
CE7FA1DC1E5A776DACB27FE2C4385AC2
49C91F24B6E11773ACD7323612470FFB
34D8C6E9426DC6C01BB47A53EBFC4EFB
4EDAE618F59180577A196FA5BAB89BB4
F7FAF50F954076525E24020E964ED646
E81F06C7C5793C1AFE9A4F847834E69E
7B6B6471072B8F359435F998A96176E7