* 출처는 안랩입니다.
김수키(Kimsuky) 그룹이 논문 심사 요청을 위장해 악성 한글 문서 파일을 이메일로 유포한 정황이 확인됐다. 이번 공격은 수신자가 문서를 열람하도록 유도한 뒤 악성 행위를 수행하는 방식으로, 지능적인 사회공학적 기법이 함께 활용된 것으로 보인다. 이번 글에서는 공격 방식의 주요 특징과 문서에 삽입된 악성 요소에 대해 살펴본다.
해당 문서는 비밀번호로 보호돼 있으며, 메일 본문에 기재된 이메일 비밀번호를 입력해야 열 수 있다. 문서를 열람하면 %TEMP%(임시 폴더) 경로에 6개 파일이 자동으로 생성되며, ‘더보기…’ 문구에 삽입된 하이퍼링크를 클릭할 경우 이 중 하나인 “peice.bat” 파일이 실행된다.
[그림 1] 악성 OLE 개체가 포함된 한글 문서 파일
문서 열람 시 생성되는 파일 목록은 아래 [표 1]과 같다.
|
번호 |
파일 이름 |
기능 |
|
1 |
app.db |
정상 서명된 EXE |
|
2 |
get.db |
프로세스 리스트, 설치된 AV정보 수집 및 추가 파일 다운로드 하는 파워셸(PowerShell) 스크립트 |
|
3 |
hwp_doc.db |
정상 미끼 한글 문서 파일 |
|
4 |
mnfst.db |
1번(app.db)파일이 읽는 설정 파일 |
|
5 |
sch_0514.db |
12분마다 2번(get.db)을 실행하는 XML 스케줄러 파일 |
|
6 |
peice.bat |
1~5번 파일들에 대한 작업 수행 |
[표 1] 생성된 파일들
* 전체내용은 아래에서 확인하세요,
![[다나와] 레노버 아이디어패드 Slim5 Ai 윈도우11포함 32GB 16인치 노트북](http://img.danawa.com/images/attachFiles/6/968/5967403_1.jpg?fitting=Large|320:240&crop=320:240;*,*)
![새내기를 위한 팔방미인 노트북이 왔어요! LG전자 2026 그램15 15ZD95U-GX56K [노리다]](https://img.danawa.com/images/attachFiles/6/970/5969084_1.jpeg?shrink=320:180)
![[포인트 마켓] 레노버 LEGION M410 유무선](http://img.danawa.com/prod_img/500000/678/719/img/75719678_1.jpg?fitting=Large|140:105&crop=140:105;*,*)
![[포인트 마켓] 한정판! 2026 다나와 굿즈 2종 세트 (1차)](http://img.danawa.com/shop_img/dasale/goods/489/026/26489_70.jpg?fitting=Large|140:105&crop=140:105;*,*)
