Kimsuky 그룹, 국회의원 선거기간 노린 공격정황 포착
Contents
kimsuky 그룹, 국회의원 선거기간 노린 공격정황 포착
어제(2020.04.09) 자사에서는 국회의원 선거관련 문서 형태의 악성코드가 유포 중임을 공개하였다. 해당 문서는 단독으로는 국회의원 선거관련 문서인지 알 수 없지만 다른 문서의 매크로를 통해 발현 됨을 확인하였다. 교묘하게 특정의 상황에서만 선거 관련 문서 내용이 확인 되도록 만들어져 특정 시스템을 타겟팅 했을 것으로 보인다.이 악성코드는 그간 알려진 kimsuky 그룹의 공격으로 확인되어 추가적인 내용을 공유하고자 한다.
[그림1] – ‘WORD 1’ 동작 구조
‘WORD 1’은 [그림1]과 같이 settings.xml.rels에 명시된 주소인 ‘saemaeul.mireene.com’ 도메인에 연결하며 현재는 추가 데이터가 다운로드되지 않지만 다운로드 성공 시 생성되는 문서 ‘WORD 2’에서도 역시 같은 도메인에 연결을 시도한다. 해당 도메인은 그간 알려져 왔듯 kimsuky 그룹이 공격에 사용해온 mireene.com 호스팅 서버로 이번에도 여전히 이용하였다. 그리고 ‘WORD 1’과 ‘WORD 2’ 및 그동안 이와 유사하게 유포된 문서들에서는 영어로 작성된 듯하게 보이지만 내부 속성에는 한국어 설정 내용이 함께 포함되어있다. 또한 흥미롭게도 ‘WORD 1’의 만든이의 이름 역시 한국인으로 보일 수 밖에 없는 이름으로 작성되었다.
[그림2] – 한국어 속성 확인 (settings.xml)
[그림3] – 한국인 이름 확인
‘WORD …
어제(2020.04.09) 자사에서는 국회의원 선거관련 문서 형태의 악성코드가 유포 중임을 공개하였다. 해당 문서는 단독으로는 국회의원 선거관련 문서인지 알 수 없지만 다른 문서의 매크로를 통해 발현 됨을 확인하였다. 교묘하게 특정의 상황에서만 선거 관련 문서 내용이 확인 되도록 만들어져 특정 시스템을 타겟팅 했을 것으로 보인다.이 악성코드는 그간 알려진 kimsuky 그룹의 공격으로 확인되어 추가적인 내용을 공유하고자 한다.
[그림1] – ‘WORD 1’ 동작 구조
‘WORD 1’은 [그림1]과 같이 settings.xml.rels에 명시된 주소인 ‘saemaeul.mireene.com’ 도메인에 연결하며 현재는 추가 데이터가 다운로드되지 않지만 다운로드 성공 시 생성되는 문서 ‘WORD 2’에서도 역시 같은 도메인에 연결을 시도한다. 해당 도메인은 그간 알려져 왔듯 kimsuky 그룹이 공격에 사용해온 mireene.com 호스팅 서버로 이번에도 여전히 이용하였다. 그리고 ‘WORD 1’과 ‘WORD 2’ 및 그동안 이와 유사하게 유포된 문서들에서는 영어로 작성된 듯하게 보이지만 내부 속성에는 한국어 설정 내용이 함께 포함되어있다. 또한 흥미롭게도 ‘WORD 1’의 만든이의 이름 역시 한국인으로 보일 수 밖에 없는 이름으로 작성되었다.
[그림2] – 한국어 속성 확인 (settings.xml)
[그림3] – 한국인 이름 확인
‘WORD …