포스팅 내용

악성코드 분석 리포트

'코로나19' 내용으로 가장한 김수키(Kimsuky) 조직의 스모크 스크린 APT 공격 주의!



안녕하세요. ESRC(시큐리티 대응센터) 입니다.


최근 코로나19 바이러스 관련 국내 확진자 수가 1,000명을 돌파하면서 코로나19에 대한 공포감이 확산되는 분위기를 악용하여 악성코드가 포함된 이메일이 유포되고 있어 사용자들의 주의가 필요합니다. 


이스트시큐리티 ESRC에서 이미 여러차례 코로나 19 이슈를 악용한 악성코드에 대해 주의를 당부드렸지만, 모두 외국어로 된 이메일들 이었습니다.


그러나, 2월 26일(수)에 한글로 작성된 코로나 19 바이러스 사칭 악성코드가 발견되어 국내 사용자들의 각별한 주의가 필요합니다. 


이번 공격은 꾸준히 국내 기업/기관을 대상으로 스피어피싱과 APT 공격을 지속해 오고있는 김수키(Kimsuky) 조직의 소행으로 추정되고 있으며, 기존의 김수키(Kimsuky) 조직 공격의 일환인 '스모크 스크린' 캠페인의 하나로 분석되었습니다.





이번에 발견된 악성 메일은 유창한 한글 내용으로 작성되었으며, 코로나19 바이러스 관련 내용을 담고 있습니다.

 


[그림 1] 코로나바이러스 관련 이사장님 지시사항으로 사칭한 악성 이메일



이번 스피어피싱 공격은 국제 교류/외교 관련 기관을 타깃으로 진행되었습니다. 스피어피싱 메일은 유창한 한글을 구사하고 있으며 ‘코로나바이러스 대응.doc’’이라는 악성 매크로가 포함된 DOC 워드 문서를 첨부하고 있습니다.


만약 이메일 수신자가 해당 악성 문서 파일을 열람하면, 문서 내 악성 매크로 스크립트가 동작하고 공격자가 사전에 설정한 국내 모 호스팅 서비스를 악용하여 추가로 악성코드를 내려받습니다. 



악성코드 분석



[그림 2] ‘코로나바이러스 대응.doc’ 문서 실행 화면



이메일 수신자가 첨부파일을 실행하면, 악성 매크로 스크립트 실행을 위해 '컨텐츠 활성화'를 누르도록 유도합니다. 만약 사용자가 '컨텐츠 활성화'를 클릭할 경우 다음과 같은 내용이 보여지게됩니다. 



[그림 3] ‘코로나바이러스감염증-19’ 관련 문서 원문



'코로나바이러스감염증-19 대책 회의' 라는 문서와 함께 국내 코로나19 확진자 현황이 적힌 내용이 보여지지만, 해당 문서에는 악성 매크로가 포함되어 있어 사용자 몰래 백그라운드에서 악성 행위를 하게됩니다. 



[그림 4] 악성 매크로가 포함된 워드 파일



또한 동시에 문서에 포함된 악성 매크로가 실행되면서 추가 스크립트를 실행하기 위해 mshta로 특정 서버에 접속하여 search.hta 라는 이름의 파일을 시작으로 아래의 순서대로 추가 코드를 내려받아 실행합니다. 



최근 코로나19 바이러스 피해를 사전에 예방하는 차원에서 재택근무를 많이 채택하는 국내/기업 기관의 임직원들이 평소보다 이메일 열람을 자주 할 가능성이 높습니다. 또한 재택근무 시 VPN을 통해 기업 내부망에 접속을 하고 있기 때문에 더더욱 외부 이메일이나 첨부파일 열람시 주의가 필요합니다. 


알약에서는 해당 악성코드에 대해 Trojan.Downloader.DOC.Gen으로 탐지하고 있습니다.


유사 위협에 사용된 도구와 침해지표(IoC) 등을 '쓰렛 인사이드(Threat Inside)' 위협 인텔리전스 리포트에서 확인하실 수 있습니다. 





티스토리 방명록 작성
name password homepage