상세 컨텐츠
본문
안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.
2020년 02월 28일, 이력서 양식 한글문서(hwp)로 위장한 scr파일을 이용한 APT(지능형지속위협) 공격이 등장했습니다. 해당 APT 공격에 이용된 파일의 알약 탐지명은 Trojan.Agent.115608C / Trojan.Agent.Detplock 입니다.
이번 공격은 지난 2019년 12월 04일 공개된 바 있는 '김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격' 사례(블루 에스티메이트 캠페인)의 5번째 변종으로 확인되었습니다.
※ 관련글보기
▶ 김수키(Kimsuky) 조직, 실제 주민등록등본 파일로 둔갑한 '블루 에스티메이트 Part3' APT 공격 주의 (2020.02.06)
▶ 청와대 행사 견적서 사칭 변종, '블루 에스티메이트 Part 2' (20.01.21)
▶ 김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격 (19.12.04)
【오퍼레이션 블루 에스티메이트 (Operation Blue Estimate)】
파일명 | 제작날짜 (타임스탬프) | MD5 |
베트남 녹지원 상춘재 행사 견적서.hwp(다수의 공백 포함) .exe | 2019-12-02 18:01:05 (KST) | 35d60d2723c649c97b414b3cb701df1c |
【오퍼레이션 블루 에스티메이트 Part2 (Operation Blue Estimate Part2)】
파일명 | 제작날짜 (타임스탬프) | MD5 |
오성사 MC2-500 외형도 P1307033 Model_수정.pdf(다수의 공백 포함) .exe | 2020-01-17 10:33:41 (KST) | da799d16aed24cf4f8ec62d5048afd1a |
【오퍼레이션 블루 에스티메이트 Part3 (Operation Blue Estimate Part3)】
파일명 | 제작날짜 (타임스탬프) | MD5 |
주민등록등본.pdf(다수의 공백 포함) .scr | 2020-02-06 15:27:36 (KST) | 20add5eb5fbe527a8b6090a08e7636a6 |
【오퍼레이션 블루 에스티메이트 Part4 (Operation Blue Estimate Part4)】
파일명 | 제작날짜 (타임스탬프) | MD5 |
letter of indemnity (new version).pdf(다수의 공백 포함) .exe | 2020-02-13 14:58:31 (KST) | cf87475a87cb2172e73ee6afa7eb6384 |
【오퍼레이션 블루 에스티메이트 Part5 (Operation Blue Estimate Part5)】
파일명 | 제작날짜 (타임스탬프) | MD5 |
이력서 양식.hwp.scr | 2020-02-27 18:16:35 (KST) | 47c95f19ebd745d588bb208ff89c90ba |
블루 에스티메이트 캠페인이 지속되고 있는 가운데, 2020년 02월 27일 제작된 이번 변종의 경우 '이력서 양식.hwp.scr' 파일명처럼 hwp 문서를 가장한 스크린 세이버 형식의 실행파일입니다.
사용자가 해당 파일을 hwp 문서로 착각하여 열람을 시도하는 경우 악성코드가 실행되며, 실제 페이로드를 드롭하는 한편, 사용자로부터 의심을 받지 않기 위해 자기자신(이력서 양식.hwp.scr)을 삭제하는 동시에 이력서 양식.hwp 이라는 실제 한글 문서를 루어(Lure)로 제공하게 됩니다.
[그림 1] 루어(Lure)파일인 "이력서 양식.hwp" 실행 화면
기존 블루 에스티메이트 캠페인과 동일하게 실제 악성코드가 실행되었음을 눈속임하는 Lure파일이 실행되는데 기존 캠페인에서 활용된 Lure파일을 정리해보면 다음과 같습니다.
[그림 2] 블루 에스티메이트에 활용된 Lure파일(1차~5차) 정리
실제 드롭되는 페이로드의 경우, Autorun 기능을 수행하는 첫번째 DLL 페이로드와 실제 C&C에 연결해서 악성행위를 수행하는 기능의 두번째 DLL 페이로드로 나뉘어지며 최종적으로 윈도 explorer.exe에 악성코드를 인젝션 하고 추가 악성코드 다운로드 및 수집한 정보 업로드 기능을 수행하며 공격자의 추가 명령을 대기합니다.
이번 변종의 경우 기존 블루 에스티메이트 캠페인에 사용된 페이로드와 비교했을 때, C&C, 문자열 방식 등에서 차이가 존재하지만, ‘맥 어드레스 및 시리얼 정보 수집’ 기능에서 공통된 코드를 보이고 있습니다.
ESRC에서는 이번 APT 공격 배후에 '김수키(Kimsuky)' 조직이 연계되어 있는 것으로 강하게 추정하고 있으며, 보다 상세한 분석내용은 'Threat Inside'의 위협 인텔리전스 리포트에서 확인하실 수 있습니다.
'악성코드 분석 리포트' 카테고리의 다른 글
| 복호화를 위한 페이지 접속시 CAPTCHA코드를 삽입한 최신 Sodinokibi 랜섬웨어 발견 (0) | 2020.03.03 |
|---|---|
| 김수키(Kimsuky)조직, 비건 미국무부 부장관 서신 내용으로 위장한 APT 공격 수행 (0) | 2020.03.03 |
| 외국발 택배 스미싱 문자 주의! (0) | 2020.03.02 |
| 비영리 기관의 계정을 노리는 계정 피싱 메일 주의! (0) | 2020.02.29 |
| '코로나19' 내용으로 가장한 김수키(Kimsuky) 조직의 스모크 스크린 APT 공격 주의! (0) | 2020.02.28 |
댓글 영역