보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

정상 문서 파일로 위장한 악성코드 주의하세요

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2020-09-09

안랩 ASEC 분석팀은 사이버 공격 조직 ‘김수키’(Kimsuky) 그룹의 소행으로 보이는 악성코드 유포 정황을 다수 확인했다. 김수키 그룹은 과거 국내 기관을 대상으로 한 공격의 유력한 배후로 잘 알려져 있다.  

 


 

김수키 그룹이 유포한 것으로 추정되는 악성코드는 docx, pdf, txt 등 문서 확장자를 포함한 정상 파일로 위장해 배포되고 있다. 해당 악성코드는 감염된 PC에서 정상 문서 위장 파일 드롭 및 실행, 정보 탈취, 추가 악성코드 등을 수행하며, 국내 정부기관, 대학 교수 등을 대상으로 하는 APT 공격에 활용된다. 

 

유포 파일 명(배포일)
- 4.[아태연구]논문투고규정.docx.exe (2020/08/20)

- Button01_[2020 서울안보대화] 모시는 글.pdf.exe (2020/08/26)

- [양식] 개인정보이용동의서.txt.exe (2020/09/03) 

 

이 악성코드는 리소스 영역에 암호화된 데이터를 포함하고 있으며, 파일을 실행하면 암호가 해독된다. 파일을 TEMP 폴더에 드롭한 후 실행하며, 해독한 데이터는 정상 문서 파일로 나타나 사용자가 악성 행위임을 인지하기 어렵다. 문서 파일의 정보와 내용은 아래와 같다. 

 


[그림 1] 공격에 활용된 ‘논문투고규정’ docx 파일

 

 
[그림 2] 공격에 활용된 ‘개인정보이용동의서’ hwp 파일 

 

문서 파일이 실행되면 ▲바탕화면 파일 & 폴더 ▲ 최근 문서 ▲Program Files 파일 & 폴더 등 사용자 PC 정보를 수집한다. 수집한 정보는 "C:\Users\[사용자명]\AppData\Roaming\Microsoft\HNC" 경로에 생성한 별도 docx 파일에 저장되어 공격자 서버로 전송된다.

 

이후에는 추가적인 악성 파일 다운로드를 감행한다. 해당 파일은 dll 형태로 백도어 유형 악성코드로 추정된다. 

 

이번에 발견된 악성코드가 김수키 그룹의 소행으로 추정되는 이유는 크게 두 가지다. 첫째로, 공격의 위장 및 동작 방식이 김수키 그룹이 자주 택하는 방식이다. 둘째, 악성코드들의 공격자 서버 (C2, 혹은 C&C)와 파일 다운로드 주소가 동일하며, 해당 주소는 김수키 그룹이 과거부터 사용한 공격자 서버 주소와 유사한 형태를 보인다. 

 

현재 V3 제품에서는 관련 파일에 대하여 다음과 같이 진단하고 있다.

 

[파일 진단]
- Trojan/Win32.Agent (2020.08.29.00)
- Trojan/Win32.Kimsuky (2020.09.04.03)

 

[Hash]
adc39a303e9f77185758587875097bb6
1e9543ad3cefb87bc1d374e2c2d09546 

 

이번 김수키 그룹 악성코드에 대한 자세한 분석 정보는 ASEC 블로그에서 확인할 수 있다.  

▶ASEC 블로그 바로가기

  • AhnLab 로고
  • ASEC 분석팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.