PDF 문서로 위장하여 유포되는 VBS 스크립트 (Kimsuky)
Contents
PDF 문서로 위장하여 유포되는 VBS 스크립트 (Kimsuky)
ASEC 분석팀은 금일(03/23) Kimsuky 조직으로 추정되는 공격 그룹이 국내 특정 기업을 대상으로 APT 공격을 수행하고 있음을 확인하였다. VBS 확장자의 스크립트 파일을 실행 시, 내부에 존재하는 정상 PDF 파일을 실행하여 마치 정상 문서를 열람한 것처럼 속이고, 악성 DLL 파일을 통해 정보유출 기능을 수행하게 된다. 공격 대상은 PDF 문서 내용을 볼 때, 정밀 가공 전문기업으로 추정되며, PDF 문서의 내용은 다음과 같다.
- 파일명: 접수증-중소기업기술혁신개발사업_시장확대형_녹색전환_S???????.pdf.vbs
이번 공격을 Kimsuky 조직 소행으로 판단한 근거는 다음과 같다.
- 기존 AppleSeed 악성코드와 유사하게 regsvr32.exe를 통해 실행
- Kimsuky 조직에서 사용하는 것으로 알려진 kro.kr 도메인을 C&C로 활용
- 공격자 명령 수신 시 tasklist, net user, systeminfo 등의 명령을 실행
특히 공격자는 사용자의 눈속임을 위해 확장자 앞에 “.pdf”를 추가하였다. 일반적인 사용자는 [그림 2]와 같이 “알려진 파일 형식의 파일 확장자명 숨기기”가 기본적으로 체크되어 있기 때문에 이 경우 VBS 파일이지만, PDF 파일로 착각할 수 있다. 결과적으로 사용자가 VBS를 실행하면 정상 PDF 문서 실행과 별개로 악성 행위가 실행된다.
악성 VBS는 VBS가 실행된 경로에 …
ASEC 분석팀은 금일(03/23) Kimsuky 조직으로 추정되는 공격 그룹이 국내 특정 기업을 대상으로 APT 공격을 수행하고 있음을 확인하였다. VBS 확장자의 스크립트 파일을 실행 시, 내부에 존재하는 정상 PDF 파일을 실행하여 마치 정상 문서를 열람한 것처럼 속이고, 악성 DLL 파일을 통해 정보유출 기능을 수행하게 된다. 공격 대상은 PDF 문서 내용을 볼 때, 정밀 가공 전문기업으로 추정되며, PDF 문서의 내용은 다음과 같다.
- 파일명: 접수증-중소기업기술혁신개발사업_시장확대형_녹색전환_S???????.pdf.vbs
이번 공격을 Kimsuky 조직 소행으로 판단한 근거는 다음과 같다.
- 기존 AppleSeed 악성코드와 유사하게 regsvr32.exe를 통해 실행
- Kimsuky 조직에서 사용하는 것으로 알려진 kro.kr 도메인을 C&C로 활용
- 공격자 명령 수신 시 tasklist, net user, systeminfo 등의 명령을 실행
특히 공격자는 사용자의 눈속임을 위해 확장자 앞에 “.pdf”를 추가하였다. 일반적인 사용자는 [그림 2]와 같이 “알려진 파일 형식의 파일 확장자명 숨기기”가 기본적으로 체크되어 있기 때문에 이 경우 VBS 파일이지만, PDF 파일로 착각할 수 있다. 결과적으로 사용자가 VBS를 실행하면 정상 PDF 문서 실행과 별개로 악성 행위가 실행된다.
악성 VBS는 VBS가 실행된 경로에 …