* 출처는 안랩입니다.
김수키(Kimsuky) 그룹이 논문 심사 요청을 위장해 악성 한글 문서 파일을 이메일로 유포한 정황이 확인됐다. 이번 공격은 수신자가 문서를 열람하도록 유도한 뒤 악성 행위를 수행하는 방식으로, 지능적인 사회공학적 기법이 함께 활용된 것으로 보인다. 이번 글에서는 공격 방식의 주요 특징과 문서에 삽입된 악성 요소에 대해 살펴본다.
해당 문서는 비밀번호로 보호돼 있으며, 메일 본문에 기재된 이메일 비밀번호를 입력해야 열 수 있다. 문서를 열람하면 %TEMP%(임시 폴더) 경로에 6개 파일이 자동으로 생성되며, ‘더보기…’ 문구에 삽입된 하이퍼링크를 클릭할 경우 이 중 하나인 “peice.bat” 파일이 실행된다.
[그림 1] 악성 OLE 개체가 포함된 한글 문서 파일
문서 열람 시 생성되는 파일 목록은 아래 [표 1]과 같다.
|
번호 |
파일 이름 |
기능 |
|
1 |
app.db |
정상 서명된 EXE |
|
2 |
get.db |
프로세스 리스트, 설치된 AV정보 수집 및 추가 파일 다운로드 하는 파워셸(PowerShell) 스크립트 |
|
3 |
hwp_doc.db |
정상 미끼 한글 문서 파일 |
|
4 |
mnfst.db |
1번(app.db)파일이 읽는 설정 파일 |
|
5 |
sch_0514.db |
12분마다 2번(get.db)을 실행하는 XML 스케줄러 파일 |
|
6 |
peice.bat |
1~5번 파일들에 대한 작업 수행 |
[표 1] 생성된 파일들
* 전체내용은 아래에서 확인하세요,
![국산 브랜드(OEM) 그래픽카드 전성시대. 이엠텍/렉스텍/유니텍/에버탑 우리나라 그래픽카드 시장 변화 이야기 [PC흥망사 123]](https://img.danawa.com/images/attachFiles/6/829/5828911_1.jpeg?shrink=320:180)
![[포인트 마켓] darkFlash DLV22 RGB 강화유리 (핑크)](http://img.danawa.com/prod_img/500000/176/742/img/11742176_1.jpg?fitting=Large|140:105&crop=140:105;*,*)
![[다나와래플] 닌텐도 스위치 2 - 5일차](http://img.danawa.com/prod_img/500000/569/497/img/91497569_1.jpg?fitting=Large|140:105&crop=140:105;*,*)
