안녕하세요? 동방안보보안대응센터(ESRC)입니다.
Internet Security Bureau를 사칭한 피싱 이메일이 유포되고 있으므로 사용자의 각별한 주의가 필요합니다.
피싱 메일은 북한과 연계된 회사 직원들에게 발송됐으며 사이버안전국에서 보낸 메일로 위장했다.
피싱메일에는 “정보통신망 이용촉진 및 정보보호”라는 내용의 압축파일이 첨부되어 있는데, 동일한 단어를 사용하여 사용자로 하여금 불안감을 조성하여 첨부파일을 열도록 유도하고 있습니다.
메일 내용은 아래와 같습니다.
안녕하세요 경찰청 사이버안전국입니다.
사이버안전원 사이버범죄코칭 사이트를 이용해 주셔서 감사합니다.
회원이 발송한 이메일은 법률에 저촉될 수 있으며, 경우에 따라 회원은 법적 책임을 질 수 있습니다.
네이버 메일 계정에서 직접 스팸을 보낸 적이 없는데 이 메시지를 받았다면 다른 사람이 회원님의 아이디를 도용했을 가능성이 있습니다.
자세한 내용은 첨부파일로 보내드립니다.
빠른 쾌유와 가족의 행복을 기원합니다.
감사해요
담당자 : 김지국 네트워크조사기획과
본문에 사용된 “문서”의 경우 “문서”에 대한 북한 기호라는 점에 유의할 필요가 있습니다.
첨부파일에 “정보통신망 이용촉진 및 정보보호.chm” 파일이 포함되어 있습니다.
사용자가 chm 파일의 압축을 풀고 실행하면 정상적인 답변이 포함된 도움말 창이 사용자에게 표시되며 겉보기에는 일반 파일처럼 보이지만 백그라운드에서는 Click() 함수를 통해 악성 스크립트가 실행됩니다.
스크립트가 실행되면 인코딩된 명령은 Document.dat에 저장되고 Certutil을 사용하여 디코딩된 명령은 Document.vbs로 저장됩니다.
그런 다음 연속성을 보장하기 위해 레지스트리 Run 키에 Document.vbs를 등록합니다.
추이세로 문서.vbs는 hxxp://ibsq(.)co.kr/config/demo.txt의 powershell 스크립트 코드를 실행하여 사용자 정보 탈취를 시도합니다.
코드 분석 결과를 바탕으로 ESRC는 공격이 북한의 지원을 받는 Kimsuky 그룹에 의해 수행되었다고 결론지었습니다.
최근 Kimsuki 그룹이 CHM 파일을 이용한 다중 공격이 적발되어 북한을 상대하는 사람들은 각별한 주의가 필요합니다.
현재 Alyak은 악성 파일에 집중하고 있습니다.
트로이 목마 드롭퍼 변종 CHM테스트 중입니다.
제어 센터
ded83a6bd7438b34b058f2fe5ee54c7e
0f1a2d2104269be9afadaab2b644fbb6
7ba620bf5151e68890d818629587cb14
hxxp://ibsq(.)co.kr/config/demo.txt
hxxp://ibsq(.)co.kr/config/show.php
