상세 컨텐츠

본문 제목

국방부 출신 이력서를 위장한 김수키(Kimsuky) 조직의 '블루 에스티메이트 Part7' APT 공격 주의

악성코드 분석 리포트

by 알약(Alyac) 2020. 3. 23. 17:03

본문



안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.


이번 공격은 지난 2019년 12월 04일 공개된 바 있는 '김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격' 사례(블루 에스티메이트 캠페인)의 7번째 변종으로 확인되었습니다.





【오퍼레이션 블루 에스티메이트 (Operation Blue Estimate)】

 파일명 

 제작날짜 (타임스탬프) 

 MD5

 베트남 녹지원 상춘재 행사 견적서.hwp(다수의 공백 포함) .exe

 2019-12-02 18:01:05 (KST)

 35d60d2723c649c97b414b3cb701df1c



【오퍼레이션 블루 에스티메이트 Part2 (Operation Blue Estimate Part2)】

 파일명 

 제작날짜 (타임스탬프) 

 MD5

 오성사 MC2-500 외형도 P1307033 Model_수정.pdf(다수의 공백 포함) .exe

 2020-01-17 10:33:41 (KST)

 da799d16aed24cf4f8ec62d5048afd1a



【오퍼레이션 블루 에스티메이트 Part3 (Operation Blue Estimate Part3)】

 파일명 

 제작날짜 (타임스탬프) 

 MD5

 주민등록등본.pdf(다수의 공백 포함) .scr

 2020-02-06 15:27:36 (KST)

 20add5eb5fbe527a8b6090a08e7636a6



【오퍼레이션 블루 에스티메이트 Part4 (Operation Blue Estimate Part4)】

 파일명 

 제작날짜 (타임스탬프) 

 MD5

 letter of indemnity (new version).pdf(다수의 공백 포함) .exe

 2020-02-13 14:58:31 (KST)

 cf87475a87cb2172e73ee6afa7eb6384



【오퍼레이션 블루 에스티메이트 Part5 (Operation Blue Estimate Part5)】

 파일명 

 제작날짜 (타임스탬프) 

 MD5

 이력서 양식.hwp.scr

 2020-02-27 18:16:35 (KST)

 47c95f19ebd745d588bb208ff89c90ba



【오퍼레이션 블루 에스티메이트 Part6 (Operation Blue Estimate Part6)】

 파일명 

 제작날짜 (타임스탬프) 

 MD5

 ko-kr.dll

 2020-02-26 22:40:26 (KST)

 1d880fde6f5d490c139d9e1836d758f9



이번에 발견된 악성 파일은 국방부 출신 이력서를 위장하고 있으며, 스피어피싱 방식을 통해 악성 파일이 유포되었을 것으로 추정되고 있습니다. 



[그림 1] 최용식 경력확인서.pdf 실행화면



악성 파일은 pdf로 위장한 형태로, 해당 파일을 실행하면 수기로 작성한 이력서와 경력증명서가 보입니다. 


하지만 백그라운드에서  %temp%경로에 [임의4자리].tmp.db 이름으로 악성 dll 파일을 생성하고 은밀하게 파일을 실행합니다. 이는 블루 에스티메이트 시리즈에서 보여지는 전형적인 실행 방법입니다.



[그림 2] 악성 dll 실행 코드



실행된 악성 dll 파일은 IMPOSSIBLE-2 이름의 Mutex가 생성 되어 있는지 확인하고 악성 행위를 시작합니다. 참고로 해당 Mutex 이름은 '블루 에스티메이트 part 5' 에서도 동일하게 사용되었습니다.


 

[그림 3] Mutex 확인 코드



%appdata%\Microsoft\Windows\Defender 하위 경로에 “AutoUpdate.dll” 이름으로 복사되어 자동 실행 항목에 등록됩니다. 


 

[그림 4] 자동실행 항목 등록



최종적으로 실행되는 페이로드는 explorer.exe 에 인젝션하여 C&C에 연결합니다. 감염 PC 정보 전송 이후 원격 제어 기능을 수행합니다. 


 

[그림 5] 정보 전송



김수키(Kimsuky) APT 조직은 2013년 카스퍼스키 랩(Kaspersky Lab)을 통해 처음 명명된 조직으로, 현재까지 활발히 활동중에 있으며 국내를 타겟으로도 꾸준한 공격을 수행중에 있습니다. 


이에 이스트시큐리티 시큐리티대응센터(ESRC)에서는 이와 관련된 유사 보안위협을 지속적으로 대응하고 있습니다. 


블루 에스티메이트 Part7의 IoC 정보는 쓰렛인사이드(Threat Inside)에서 확인하실 수 있습니다. 



관련글 더보기

댓글 영역