ASEC 분석팀은 01월 08일 안보 분야 종사자를 대상으로 원고 청탁서로 위장한 문서형 악성코드 유포 정황을 확인하였다. 확보된 악성코드는 워드 문서 내 External 개체를 통해 추가 악성 매크로를 실행한다. 이러한 기법은 템플릿 인젝션(Template Injection) 기법으로 불리며 이전 블로그를 통해 유사한 공격 사례를 소개한 바 있다.
워드 문서를 실행하면 공격자 C&C 서버로부터 추가 악성 워드 매크로 문서를 다운로드 받아 실행한다. 추가로 실행되는 매크로는 사용자가 백그라운드에서 매크로 코드가 실행되는 것을 눈치채지 못하게 하기위해 정상 문서 파일도 함께 실행되도록 작성되어 있다.
공격자가 함께 유포한 정상 문서 파일은 원문은 한글로 작성되어있지만, 중국어 글꼴도 함께 포함되어 있어 공격자는 중국어 워드 환경을 사용하는 것으로 추정된다.
정상 문서 실행 후에는 정보 유출 스크립트를 다운받아 실행하며 스크립트의 기능은 아래 정보들을 C&C 서버로 유출한다.
- 감염 PC 시스템 정보
- 최근 열어본 워드 문서 목록
- 시스템 내 다운로드 폴더 경로 정보
- IE 관련 레지스트리키 수정
- C&C 서버 연결 지속성을 위한 작업 스케줄러 등록
- 시스템에 설치된 바이러스 백신 정보
특히 공격자 C&C 서버 IP(112.175.85.243)는 지난 01월 03일 블로그에 소개한 “카카오 로그인화면으로 위장한 웹페이지“에서 사용된 도메인과 유사한 피싱 도메인이 해당 IP에서 추가로 발견되어 동일한 공격자로 추정된다.
최근 들어 템플릿 인젝션 기법을 사용하는 APT 공격이 늘어나고 있다. 템플릿 인젝션 기법은 주로 이메일의 첨부 파일 형태로 유포되는 경우가 많으므로 감염 예방을 위해 출처가 불분명한 이메일 발신자의 첨부 파일은 되도록 실행하지 않은것이 중요하다.
현재 안랩 V3 제품은 관련 악성코드를 다음 진단명으로 탐지하고있다.
[IOC]
[External 개체 이용한 워드 문서]
[MD5,진단명(엔진버전)]
– 2c9d6f178f652c44873edad3ae98fff5 – Downloader/DOC.External (2023.01.10.03)
– 68e79490ed1563904791ca54c97b680a – Downloader/DOC.External (2023.01.10.03)
[추가 다운로드 워드 매크로 문서]
– dd954121027d662158dcad24c21d04ba – Downloader/DOC.Kimsuky (2023.01.10.03)
– f22899abfa82e34f6e59fa97847c7dfd – Downloader/DOC.Kimsuky (2023.01.10.03)
[정보 유출 스크립트]
– 3fe5ce0be3ce20b0c3c9a6cd0dae4ae9 – Downloader/VBS.Generic.SC185541 (2023.01.10.03)
– 2244f8798062d4cef23255836a2b4569 – Downloader/VBS.Generic.SC185542 (2023.01.10.03)
[C&C]
– hxxp://lifehelper[.]kr/gnuboard4/bbs/img/upload1/temp.dotm
– hxxp://lifehelper[.]kr/gnuboard4/bbs/img/upload/temp.dotm
– hxxp://lifehelper[.]kr/gnuboard4/bbs/img/upload1/temp.docx
– hxxp://lifehelper[.]kr/gnuboard4/bbs/img/upload/temp.docx
– hxxp://lifehelper[.]kr/gnuboard4/bbs/img/upload1/list.php?query=1
– hxxp://lifehelper[.]kr/gnuboard4/bbs/img/upload/list.php?query=1
原文始发于ASEC:원고 청탁서로 위장한 악성코드 (안보 분야 종사자 대상)
相关文章
