김수키 해킹그룹, 사례비 지급 내용으로 위장한 OneNote 악성코드 퍼뜨려

  |  입력 : 2023-03-21 10:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
한글 문서 아닌 personal.vbs라는 이름의 악성 스크립트 개체 포함돼
파워쉘 명령어 통해 특정 링크에서 한글 파일 내려받아 악성코드 실행


[보안뉴스 김영명 기자] 최근 “설문조사에 깊은 관심과 참여주셔서 감사합니다. OOO 연구소에서는 본 설문조사에 참여해주신 분들게 소정의 사례비(30만원)를 지급해드립니다”라는 내용으로 위장한 마이크로소프트(Microsoft) 원노트(OneNote) 악성코드가 유포 중인 것이 확인됐다.

▲마이크로소프트 원노트 실행시 본문 내용[자료=안랩 ASEC 분석팀]


안랩 ASEC 분석팀은 최근 확인된 파일이 LNK 유형의 악성코드와 동일한 연구소를 사칭하고 있으며 실행되는 VBS 파일의 악성 행위가 유사한 것으로 보아 동일 공격 그룹의 소행으로 확인된다고 밝혔다. 마이크로소프트 원노트 파일을 실행하게 되면 설문조사 사례비 지급 내용을 담고 있으며, 한글 문서가 첨부된 것으로 보이는 위치를 클릭하도록 유도한다.

▲숨겨져 있는 악성 스크립트[자료=안랩 ASEC 분석팀]


해당 위치에는 한글 문서가 아닌 personal.vbs 명의 악성 스크립트 개체가 숨어 있다. 사용자가 이를 클릭하면 악성 VBS 파일이 personal.vbs 명으로 임시 경로에 생성 및 실행된다. 생성된 VBS 파일의 코드는 다음과 같이 난독화된 명령어를 주석처럼 보이도록 한 후 이를 다시 읽어 복호화 후 악성 명령어를 실행한다.

▲personal.vbs 코드[자료=안랩 ASEC 분석팀]


복호화된 스크립트 코드는 최종적으로 특정 링크에 접속해 추가 스크립트 코드를 실행한다. 현재 해당 URL에는 접속할 수 없지만, URL 형식으로 보아 아래 블로그와 정보 유출 기능의 스크립트를 실행했을 것으로 추정된다. 이후 파워쉘 명령어 통해 특정 링크에서 한글 파일을 다운로드해 실행한다.

▲최종으로 실행되는 스크립트 코드[자료=안랩 ASEC 분석팀]


분석 당시 한글 문서가 다운로드되지 않았지만, 사용자에게 정상적인 문서 파일로 보이기 위해 정상 한글 문서를 다운로드했을 것으로 보인다. 또한, 원노트에 작성된 한글 파일명이 예전의 ‘개인정보이용동의서.hwp’과 동일한 파일명을 사용하고 있어 이와 유사한 양식의 한글 문서가 실행됐을 것으로 추정된다.

ASEC 분석팀 관계자는 “최근 김수키(Kimsuky) 그룹에서 워드 문서로 유포했던 악성코드를 CHM, LNK, OneNote 등 다양한 형식의 악성코드로 유포하고 있는 것이 확인돼 사용자의 각별한 주의가 필요하다”며 “해당 파일들은 주로 사례비 양식, 개인정보 양식을 위장해 메일로 유포되고 있어 사용자는 첨부파일 실행에 유의해야 한다”고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)