포스팅 내용

악성코드 분석 리포트

이력서로 위장한 김수키(Kimsuky) 조직의 '블루 에스티메이트 Part5' APT 공격 주의




안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.


2020년 02월 28일, 이력서 양식 한글문서(hwp)로 위장한 scr파일을 이용한 APT(지능형지속위협) 공격이 등장했습니다. 해당 APT 공격에 이용된 파일의 알약 탐지명은 Trojan.Agent.115608C / Trojan.Agent.Detplock 입니다.


이번 공격은 지난 2019년 12월 04일 공개된 바 있는 '김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격' 사례(블루 에스티메이트 캠페인)의 5번째 변종으로 확인되었습니다.




【오퍼레이션 블루 에스티메이트 (Operation Blue Estimate)】

 파일명 

 제작날짜 (타임스탬프) 

 MD5

 베트남 녹지원 상춘재 행사 견적서.hwp(다수의 공백 포함) .exe

 2019-12-02 18:01:05 (KST)

 35d60d2723c649c97b414b3cb701df1c



【오퍼레이션 블루 에스티메이트 Part2 (Operation Blue Estimate Part2)】

 파일명 

 제작날짜 (타임스탬프) 

 MD5

 오성사 MC2-500 외형도 P1307033 Model_수정.pdf(다수의 공백 포함) .exe

 2020-01-17 10:33:41 (KST)

 da799d16aed24cf4f8ec62d5048afd1a



【오퍼레이션 블루 에스티메이트 Part3 (Operation Blue Estimate Part3)】

 파일명 

 제작날짜 (타임스탬프) 

 MD5

 주민등록등본.pdf(다수의 공백 포함) .scr

 2020-02-06 15:27:36 (KST)

 20add5eb5fbe527a8b6090a08e7636a6



【오퍼레이션 블루 에스티메이트 Part4 (Operation Blue Estimate Part4)】

 파일명 

 제작날짜 (타임스탬프) 

 MD5

 letter of indemnity (new version).pdf(다수의 공백 포함) .exe

 2020-02-13 14:58:31 (KST)

 cf87475a87cb2172e73ee6afa7eb6384



【오퍼레이션 블루 에스티메이트 Part5 (Operation Blue Estimate Part5)】

 파일명 

 제작날짜 (타임스탬프) 

 MD5

 이력서 양식.hwp.scr

 2020-02-27 18:16:35 (KST)

 47c95f19ebd745d588bb208ff89c90ba



블루 에스티메이트 캠페인이 지속되고 있는 가운데, 2020년 02월 27일 제작된 이번 변종의 경우 '이력서 양식.hwp.scr' 파일명처럼 hwp 문서를 가장한 스크린 세이버 형식의 실행파일입니다.


사용자가 해당 파일을 hwp 문서로 착각하여 열람을 시도하는 경우 악성코드가 실행되며, 실제 페이로드를 드롭하는 한편, 사용자로부터 의심을 받지 않기 위해 자기자신(이력서 양식.hwp.scr)을 삭제하는 동시에 이력서 양식.hwp 이라는 실제 한글 문서를 루어(Lure)로 제공하게 됩니다.



[그림 1] 루어(Lure)파일인 "이력서 양식.hwp" 실행 화면



기존 블루 에스티메이트 캠페인과 동일하게 실제 악성코드가 실행되었음을 눈속임하는 Lure파일이 실행되는데 기존 캠페인에서 활용된 Lure파일을 정리해보면 다음과 같습니다.



[그림 2] 블루 에스티메이트에 활용된 Lure파일(1차~5차) 정리



실제 드롭되는 페이로드의 경우, Autorun 기능을 수행하는 첫번째 DLL 페이로드와 실제 C&C에 연결해서 악성행위를 수행하는 기능의 두번째 DLL 페이로드로 나뉘어지며 최종적으로 윈도 explorer.exe에 악성코드를 인젝션 하고 추가 악성코드 다운로드 및 수집한 정보 업로드 기능을 수행하며 공격자의 추가 명령을 대기합니다.


이번 변종의 경우 기존 블루 에스티메이트 캠페인에 사용된 페이로드와 비교했을 때, C&C, 문자열 방식 등에서 차이가 존재하지만, ‘맥 어드레스 및 시리얼 정보 수집’ 기능에서 공통된 코드를 보이고 있습니다.


ESRC에서는 이번 APT 공격 배후에 '김수키(Kimsuky)' 조직이 연계되어 있는 것으로 강하게 추정하고 있으며, 보다 상세한 분석내용은 'Threat Inside'의 위협 인텔리전스 리포트에서 확인하실 수 있습니다. 



티스토리 방명록 작성
name password homepage