[위협정보 공유] 21대 국회의원 선거관련.docx

SNS를 통해 수집된 위협정보를 공유드립니다. 다음 주 국회의원 선거가 다가오자 공격자들이 Word를 활용한 미끼 문서를 유포하고 있습니다. 현재는 공개된 C2들이 모두 단절되었거나 파일이 비어있지만 주의가 필요합니다. 이 파일과 더불어 "외교문서 관련(***국장).docx" 이라는 파일이 유포되고 있으며, C2 경로만 약간 다른 것으로 확인됐습니다.
C2가 단절되어 추가 파일은 확인하지 못해서 아쉽지만, SNS에 미리 샘플을 확보하고 분석한 분들이 공개[1][2]한 IOC 정보를 하단에 공유해드리겠습니다.

(Figure 1) 트위터에 공개된 위협정보 

실행 시 C2가 현재 단절되어 (Figure 2)와 같이 보이지만, 단절되지 않았을 경우 문서가 제대로 보일 것으로 추정됩니다. 또한, 두 파일의 이미지를 Hash 비교를 해보니 같은 것으로 확인되었습니다.

(Figure 2) 실행 시 보여지는 이미지

(Figure 3) 같은 이미지 사용

워드 속성 확인결과, 두 파일 모두 Robot Karll 이라는 작성자로 2020-03-31, 2020-04-03 오전 9시경에 마지막으로 수정한 것으로 확인됐습니다. (조작되었을 가능성도 있음)

(Figure 4) 워드 작성자 정보(1)

(Figure 5) 워드 작성자 정보(2)

(Figure 6) ~ (Figure 9)까지는 두 개의 파일이 요청하는 C2 정보가 존재하는 settings.xml 파일의 내용과 네트워크 정보입니다. 경로는 조금씩 상이한 것으로 보입니다. 

(Figure 6) settings.xml에 포함된 C2 경로(1)

(Figure 7) settings.xml에 포함된 C2 경로(2)

(Figure 8) 네트워크 연결 정보(1)

(Figure 9) 네트워크 연결 정보(2)

추가적으로, SNS, 분석 블로그에서 공개한 정보[1][2]에 따르면, 다운로드된 악성코드는 KMSAuto로 위장해 작업 스케줄러에서 새 작업을 생성하는 지속성 메커니즘을 사용했으며, 피해자의 정보를 수집해 아래 URL로 전송한다고 합니다.
http://saemaeul.mireene[.]com/skin/board/basic/bin/report[.]php

[IOC]
http://saemaeul.mireene[.]com/skin/visit/basic/log
http://saemaeul.mireene[.]com/skin/board/basic/bin/
http://saemaeul.mireene[.]com/skin/board/basic/bin/data[.]txt
http://saemaeul.mireene[.]com/skin/board/basic/bin/report[.]php
dbbdcc944c4bf4baea92d1c1108e055a7ba119e97ed97f7459278f1491721d02
adcdbec0b92da0a39377f5ab95ffe9b6da9682faaa210abcaaa5bd51c827a9e1
fa89eb6d1618d014e04ea7eabe5de82bd94163414e3ec07c2f26964011abdfb8
36339e43abf2f6fb8904235eb3e9a1872783dcbfe466f46872ff3a22274b741f

[참고]
[1] https://twitter.com/vigilantbeluga/status/1248168443888545792

Anti-malware vigilante on Twitter

[2] https://asec.ahnlab.com/1312

주의! 21대 국회의원 선거관련 악성 워드문서 유포 중