Kimsuky 조직 악성 HWP 한글 문서 유포

10월 16일 어제 안랩 ASEC 분석팀에 새로운 악성 HWP 한글 문서가 접수되었다. 확인 결과 Kimsuky 조직 유형으로 판단된다. 

 

악성 한글 문서는 한반도의 대북 정책 관련 한미/한중 외교에 관한 질문 내용이다. 공격 대상은 정확히 확인되지 않았지만, 관련 전문가 또는 참가자를 대상으로 했을 것으로 보인다. 공격자는 CVE-2017-8291 고스트스크립트 취약점을 이용한 악성 EPS 이미지 포맷 파일을 문서에 삽입(아래 박스로 표기한 부분)하여 악성 기능을 실행하였다. 

 

파일 정보

 

• 파일 타입: 한글 워드프로세서 문서
• 파일명: kinu 전문가 자문 요청사항(한미동맹과 한중관계).hwp (추정)
• MD5: 42ae424f27d83fa132b2967b64f6ba21
• SHA256: d94f26158dc3fd9fd93aa7f38afe63f3893b00c03d04c08f0581323e3ee3de58

 

주요 행위

 

프로세스에 악성코드 인젝션

 

악성 한글 문서는 인젝션을 두 번 수행한다. 인젝션 결과 프로세스 트리는 위와 같이 그려진다. 이 과정은 최근 확인되고 있는 Kimsuky 유형 HWP 악성코드의 특징이다.

1. gswin32c.exe 프로세스(또는 gbb.exe 프로세스)가 한글 프로그램 실행 시 실행되는 HimTrayIcon.exe 프로세스에 쉘코드 인젝션 - RtlCreateUserThread 이용
2. HimTrayIcon.exe 프로세스가 정상 userinit.exe 프로세스를 자식 프로세스로 실행 한 뒤 메모리에 악성 PE를 재구성하여 인젝션 - Context Thread 이용

C&C 접속 및 공격 대상 정보 유출

 

userinit.exe 프로세스에 인젝션 된 PE 파일은 공격 대상 정보 수집 및 유출 기능이 있다. 시스템에 생성한 'a_<랜덤>.bat' 파일을 이용하여 커맨드 명령을 수행한다. 다음은 주요 코드 부분으로 사용자의 시스템 정보와 프로세스 정보 등을 유출하여 C&C와 통신하는 부분이다. 이러한 C&C 통신 과정 또한 Kimsuky 유형 HWP 악성코드의 특징이다. 

 

• %AppData%\\Microsoft\\Network\\xyz 파일에 수집된 내용 저장
• hxxp://clouds.scienceontheweb.net/img/png/load.png
• hxxp://clouds.scienceontheweb.net/img/png/download.png

 

 

탐지와 대응

 

안랩의 V3 제품에서는 이와 관련된 악성코드를 다음과 같은 진단명으로 탐지하고 있다. 

 

• 파일 진단 - HWP/Exploit (2019.10.17.00)
• 파일 진단 - EPS/Exploit.S4 (2019.10.17.05)