2023년 2월경 [KBS 일요진단]질문지.docx 라는 이름으로 kimsuky의 악성코드가 유포되었다. 해당 악성코드는 정상적인 워드 문서 파일로 위장하고 있지만 Template Injection 등을 통해 내부적으로는 악성 스크립트를 다운로드 및 실행해 감염 PC의 정보들을 C2 서버로 전송하는 행위를 수행한다.
처음 파일을 열면 아래와 같이 Microsoft Office 아이콘과 함께 "콘텐츠를 불러올수 없습니다" 와 "호환성문제로 콘텐츠를 올바르게 불러올수 없습니다." 등의 문구가 존재하는 이미지를 띄운다. 해당 이미지를 통해 피해자에게 "편집 사용", "콘텐츠 사용" 버튼을 클릭하게 해 decoy 문서를 다운로드 받게 하는 목적이다.
* 특이점: 해당 문서의 언어 설정값이 일본어로 되어 있다.
문서 내부에는 아래와 같이 C2 서버의 decoy 문서 경로가 포함되어 있다. 피해자가 콘텐츠 사용을 클릭하면 해당 경로를 통해 decoy 문서를 다운로드 한다.
- 해당 서버 주소는 정상 회사의 홈페이지 주소이며, C2 서버 악용을 위해 kimsuky 그룹이 장악 후 사용한 것으로 보여진다. 현재는 정상화 된 것으로 보여진다.
decoy 내용은 실제 질문지인 것 처럼 위장하고 있다.
해당 문서의 매크로 내에 C2 서버의 또 다른 경로에서 추가 악성 스크립트를 다운로드하는 것을 확인할 수 있다. 해당 악성 스크립트는 감염 PC의 %TEMP% 폴더에 다운로드 되며, 다운로드 이후 실행된다.
해당 악성 스크립트가 다운로드 된 후 실행되면 아래와 같은 값들을 탈취해 C2 서버로 유출한다.
* 감염 PC 시스템 정보
* 시스템 내 설치된 백신 정보
* 최근 열어본 워드 문서 정보
* 시스템 내 다운로드 폴더 경로
* 실행중인 프로세스 정보
* IE 관련 레지스트리 키
또한, C2 서버 연결을 지속적으로 하기 위해서 작업 스케쥴러에 해당 파일 실행을 등록한다.
해당 악성코드는 스피어피싱을 통해 유포된 것으로 보여진다.
- 파일 해쉬 : a2e6e833947a1d5c526c0c2d6943e35bad9cbe22b52a6f7013ab8c1de0aa2d31
'Analysis' 카테고리의 다른 글
43. 3CX Supply Chain Attack (0) | 2023.04.06 |
---|---|
42. Kimsuky's 협의 이혼 의사 확인 신청서.docx (0) | 2023.03.22 |
40. GuLoader (1) | 2023.02.14 |
39. Rhadamanthys stealer (0) | 2023.01.31 |
38. 샤오치잉 그룹 (aka White Dawn, Core Code) (0) | 2023.01.25 |