Kimsuky 그룹의 CHM 기반 정찰용 악성코드
Contents
개요
지난 위협 분석 보고서에서는 Kimsuky 그룹이 정찰 목적으로 사용하는 LNK 악성코드에 대해 분석했다. 이 악성코드는 LNK 파일에 포함된 PowerShell 스크립트를 실행하여 시스템 내에 악성 모듈이 포함된 압축 파일을 생성 및 해제하고, 이후 숫자로 이름이 지정된 bat 파일을 통해 시스템 정보를 C2로 전송하는 기능을 수행한다.
최근에는 Kimsuky 그룹이 이와 유사한 정찰용 스크립트를 계속해서 활용하고 있으나, 악성코드의 유포 형태에 변화를 주어 LNK 대신 CHM 파일 형태로 배포하는 사례를 확인했다. 이번 보고서에서는 이러한 형태의 CHM 악성코드를 분석해 Kimsuky 그룹의 최신 공격 패턴 및 동향을 살펴본다.
Stage 1. 설치
공격자는 악성 코드 실행을 위해, 컴파일된 윈도우 도움말 파일(CHM)을 사용했다. 금번 발견된 CHM 파일은 내부에 비트코인 키 정보와 관련된 내용으로 위장하고 있어 암호화폐 탈취를 위한 공격에 활용된 것으로 추정된다.
CHM 파일 : 컴파일된 HTML 형태의 도움말 파일로 HTML 및 스크립트를 내장해 사용자의 PC에서 스크립트 실행 가능
1.htm 파일은 악성 행위를 수행하는 코드를 shortcut으로 등록한 뒤 SetTimeout 함수를 통해 일정 시간이 지난 후 실행된다. 실행되는 스크립트는 악성코드를 특정 경로에 생성하기 …
지난 위협 분석 보고서에서는 Kimsuky 그룹이 정찰 목적으로 사용하는 LNK 악성코드에 대해 분석했다. 이 악성코드는 LNK 파일에 포함된 PowerShell 스크립트를 실행하여 시스템 내에 악성 모듈이 포함된 압축 파일을 생성 및 해제하고, 이후 숫자로 이름이 지정된 bat 파일을 통해 시스템 정보를 C2로 전송하는 기능을 수행한다.
최근에는 Kimsuky 그룹이 이와 유사한 정찰용 스크립트를 계속해서 활용하고 있으나, 악성코드의 유포 형태에 변화를 주어 LNK 대신 CHM 파일 형태로 배포하는 사례를 확인했다. 이번 보고서에서는 이러한 형태의 CHM 악성코드를 분석해 Kimsuky 그룹의 최신 공격 패턴 및 동향을 살펴본다.
Stage 1. 설치
공격자는 악성 코드 실행을 위해, 컴파일된 윈도우 도움말 파일(CHM)을 사용했다. 금번 발견된 CHM 파일은 내부에 비트코인 키 정보와 관련된 내용으로 위장하고 있어 암호화폐 탈취를 위한 공격에 활용된 것으로 추정된다.
CHM 파일 : 컴파일된 HTML 형태의 도움말 파일로 HTML 및 스크립트를 내장해 사용자의 PC에서 스크립트 실행 가능
1.htm 파일은 악성 행위를 수행하는 코드를 shortcut으로 등록한 뒤 SetTimeout 함수를 통해 일정 시간이 지난 후 실행된다. 실행되는 스크립트는 악성코드를 특정 경로에 생성하기 …
IoC
173.214.164.75
35ddb63c0729a7e3019c026865ea195607a51943d8867607a26c006f0df6e594
https://lfpa.website/pkg
https://lfpa.website/pkg/djqxfh.php
https://lfpa.website/pkg/ilot.php
https://lfpa.website/pkg/qsuw.php?cgimo=34689
https://lfpa.website/pkg/qsuw.php?cgimo=48529
https://lfpa.website/pkg/qsuw.php?cgimo=78024
https://lfpa.website/pkg/show.php
https://lfpa.website/pkg/xyce.php?mtahp=02471
https://lfpa.website/pkg/xyce.php?mtahp=36049
35ddb63c0729a7e3019c026865ea195607a51943d8867607a26c006f0df6e594
https://lfpa.website/pkg
https://lfpa.website/pkg/djqxfh.php
https://lfpa.website/pkg/ilot.php
https://lfpa.website/pkg/qsuw.php?cgimo=34689
https://lfpa.website/pkg/qsuw.php?cgimo=48529
https://lfpa.website/pkg/qsuw.php?cgimo=78024
https://lfpa.website/pkg/show.php
https://lfpa.website/pkg/xyce.php?mtahp=02471
https://lfpa.website/pkg/xyce.php?mtahp=36049