로그인
회원가입
MY 바이로봇
제품소개
엔드포인트 보안
바이로봇 시큐리티 1.0
바이로봇 시큐리티 서버 1.0
바이로봇 매니저 1.0
바이로봇 Unix/Linux Server 2.5
바이로봇 PMS 3.0
바이로봇 APT Shield 2.0
바이로봇 WhiteGuard
바이로봇 내PC지키미 2.0
바이로봇 IGIS 2.0
바이로봇 SDK 1.5
하우리 Smart Sensor
하우리 Smart Sensor Manager 1.0
운영체제 보안
레드아울 SecuOS for Windows
레드아울 SecuOS for Unix/Linux
레드폴리 (REDPOLI)
모바일 보안
바이로봇 Mobile for Android 3.0
바이로봇 Smishing Defender
통합 계정관리 보안
레드아울 IAM 2.0
데이터 영구삭제
바이로봇 DataEraser 2.0
바이로봇 DiskWiper 1.5
제품구매
제품구매
제품구매 및 문의
신규/재구매 안내
판매종료 제품 안내
구매상담
견적/구매문의
상담전화 안내
구매처
하우리 쇼핑몰
파트너 구매처
고객사
보안정보
하우리 소식
보안 전문자료
보안이슈 분석
악성코드 상세분석 보고서
보안업데이트 정보
뉴스 클리핑
엔진/악성코드 정보
엔진 업데이트 현황
악성코드 분석정보
다운로드
무료 다운로드
엔진파일
전용백신
설치파일
사용설명서
브로슈어
고객지원
온라인 고객센터
자주 하는 질문(FAQ)
1:1 상담
상담전화 안내
원격지원 안내
신고하기
제품등록
랜섬웨어
회사소개
쇼핑몰
MY바이로봇
회원가입
로그인
제품소개
엔드포인트 보안
바이로봇 시큐리티 1.0
바이로봇 시큐리티 서버 1.0
바이로봇 매니저 1.0
바이로봇 Unix/Linux Server 2.5
바이로봇 PMS 3.0
바이로봇 APT Shield 2.0
바이로봇 WhiteGuard
바이로봇 내PC지키미 2.0
바이로봇 IGIS 2.0
바이로봇 SDK 1.5
하우리 Smart Sensor
하우리 Smart Sensor Manager 1.0
운영체제(OS) 보안
레드아울 SecuOS for Windows
레드아울 SecuOS for Unix/Linux
레드폴리(REDPOLI)
통합 계정관리 보안
레드아울 IAM 2.0
모바일 보안
바이로봇 Mobile for Android 3.0
바이로봇 Smishing Defender
데이터 영구삭제
바이로봇 DataEraser 2.0
바이로봇 DiskWiper 1.5
제품구매
제품구매
제품구매 및 문의
신규/재구매 안내
판매종료 제품 안내
구매상담
견적/구매문의
상담전화 안내
구매처
하우리 쇼핑몰
파트너 구매처
고객사
보안정보
하우리 소식
보안 전문자료
보안이슈 분석
악성코드 상세분석 보고서
보안 업데이트 정보
뉴스 클리핑
엔진/악성코드 정보
엔진 업데이트 현황
악성코드 분석정보
다운로드
무료 다운로드
엔진파일
전용백신
설치파일
사용설명서
브로슈어
고객지원
온라인 고객센터
자주 하는 질문(FAQ)
1:1 상담
상담전화 안내
원격지원 안내
신고하기
제품등록
랜섬웨어
2024-05-16.03
실시간 보안경보 :
주의
Security issues
analysis
주의해야 할 보안위협요소에 대한 분석자료 제공
보안이슈 분석
주중 한국대사관을 사칭한 스피어피싱 메일
등록일 :
2024.04.03
◎ 북한 김수키(Kimsuky) 해킹 조직의 소행으로 추정되는 APT 공격
◎ 회신 메일에 능동적이고 자연스럽게 대응하며 악성코드 감염 유도
◎ 발신자의 발송 진위여부, 상시 보안교육이 중요!
지난 2월말, 주중 한국대사관을 사칭하여 서울대교수에게 스피어피싱 메일이 발송된 것이 발견되었다. 발신자는 한중, 북중 관계 회의 참석을 요청하며, 회의 방법과 일정을 조율하는 등 자연스러운 메일로 수신자와 소통하였다.
수신자가 의심하지 않도록 메일로 소통하면서 악성코드가 첨부된 링크(구글 드라이브 이용) 파일을 수신자에게 전달하여 실행을 유도했다.
(* 악성첨부 파일명 : 202404주중대사관 정책간담회.rar)
다운로드 된 악성코드는 RAR 압축형태로 되어 있으며, 메일 수신자 외에는 해당 파일을 열람하지 못하게 하려는 의도로 비밀번호가 설정되어 있다. 압축파일 내에는 미끼용 정상파일(.hwp) 4개와 악성 스크립트가 포함된 파일(.lnk) 이 함께 존재한다.
함께 첨부된 미끼용 정상 파일 4개는 비공개용으로 전체일정, 회의일정 비자 신청 절차, 간단이력 샘플 양식 등의 문서이다.
수신자가 첨부된 파일이 실행되지 않는다고 회신하였으나, 발신자는 문제가 되는 부분을 캡쳐해서 회신을 달라고 요청하였으며, 이는 악성코드를 수정한 뒤 다시 전달하려는 의도로 보이며, 특정 타겟을 집요하게 공격하는 모습을 확인할 수 있다.
북한 김수키(Kimsuky) 해킹 조직의 국가 고위공직자를 사칭한 사례들은 아래의 분석보고서에서 추가적으로 확인할 수 있다.
[특집 보안 리포트] 북한 김수키(Kimsuky) 조직의 스피어피싱 메일 공격 분석
▶
악성코드 상세분석 보고서 보기
○ 악성코드 분석
바로가기(LNK) 파일 속성 데이터 일부
[그림 1] 바로가기(LNK) 파일 속성 중 일부
바로가기(LNK) 파일이 실행되면 초반에 실행되는 경로에 존재하는 바로가기(LNK) 파일 중 파일 길이가 "0x0010F27C (1,110,652 byte)"인 바로가기(LNK) 파일을 찾는다.
[그림 2] 악성행위를 수행할 바로가기(LNK) 파일 검색
찾은 악성 바로가기(LNK) 파일 내부에 존재하는 HWP 데이터를 가져와 같은 파일 이름으로 드롭한 뒤 실행한다.
[그림 3] 바로가기(LNK) 파일 내부에 존재하는 HWP 데이터
[그림 4] 한글 미끼 파일 HWP 실행 화면
추후 다운받은 파일을 복호화하기 위한 AES 복호화 키를 생성한다.
[그림 5] 복호화 키 생성
DropBox API를 사용해 파일을 다음 URL에서 데이터 다운로드를 시도한다.
URL : https://content[.]dropboxapi[.]com/2/files/download
드롭박스 경로 : /step5/ps[.]bin
[그림 6] 연결을 위한 액세스 토큰을 받아옴
[그림 7] 데이터 다운
다운받은 데이터를 AES 로 복호화하여 실행한다.
[그림 8] 다운받은 데이터 복호화 후 실행
서버에 정상적으로 연결되어 복호화된 데이터가 실행될 시 정상적인 파일에 악성 데이터를 인젝션 시켜 사용자의 정보를 탈취하거나, 서버와의 통신을 통해 공격자의 명령을 수행하는 등의 악성행위를 수행하는 것으로 추정된다.
- 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
- 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의
skim@hauri.co.kr)
목록
Top