MSC 파일을 이용한 BabyShark 악성코드
Contents
<분석 개요>
북한 해킹 그룹 Kimsuky의 BabyShark 캠페인은 2018년부터 관찰되어 왔으며, 최근까지 계속하여 진행 중인 캠페인이다. 이 캠페인은 이전에 OLE 개체를 이용한 HWP 파일 및 .BAT 파일과 .VBS 파일들을 사용하는 모습이 보였지만, 최근에는 보안 솔루션들의 탐지를 회피하기 위해 MSC(Microsoft Management Console) 파일을 이용하는것과 VBScript 실행을 위한 기본 Windows 프로그램인 wscript.exe 및 cscript.exe을 사용하지않고, VbsEdit의 Launcher를 사용해 악성코드를 실행하는 방식 등의 여러 변화를 주고 있다.
<Case>
북한 해킹 그룹 Kimsuky의 BabyShark 캠페인은 2018년부터 관찰되어 왔으며, 최근까지 계속하여 진행 중인 캠페인이다. 이 캠페인은 이전에 OLE 개체를 이용한 HWP 파일 및 .BAT 파일과 .VBS 파일들을 사용하는 모습이 보였지만, 최근에는 보안 솔루션들의 탐지를 회피하기 위해 MSC(Microsoft Management Console) 파일을 이용하는것과 VBScript 실행을 위한 기본 Windows 프로그램인 wscript.exe 및 cscript.exe을 사용하지않고, VbsEdit의 Launcher를 사용해 악성코드를 실행하는 방식 등의 여러 변화를 주고 있다.
<Case>