본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

디지털 자산 지갑 서비스 고객센터로 위장한 北 연계 APT 공격 발견!

보안공지 2022-02-17



최근 Klip 고객센터를 위장한 악성 파일이 발견되어 사용자들의 각별한 주의가 필요합니다. 

Klip은 카카오의 블록체인 관련 자회사인 그라운드 X가 개발한 디지털 자산 지갑 서비스로, 이번에 발견된 파일은 '[Klip 고객센터]오전송_토큰해결_안내.doc' 파일명으로 유포되었습니다. 

 

 

[그림 1] 콘텐츠 사용 버튼 클릭을 유도하는 화면

 

해당 파일에는 악성 매크로가 포함되어 있으며, 문서가 보호되었다며 사용자로 하여금 콘텐츠 사용 버튼 클릭을 유도합니다.

만일 사용자가 콘텐츠 사용 버튼을 클릭하면, 실제 Klip 고객센터에서 보낸 파일처럼 작성되어 있어 사용자로 하여금 실제 정상파일처럼 오인하게 합니다.

 

 

[그림 2] Klip 고객센터 위장 파일



하지만, 해당 파일에는 매크로 코드가 포함되어 있으며, 백그라운드에서 매크로가 실행됩니다. 

 

 

[그림 3] 악성파일에 포함된 매크로

 


매크로가 실행되면, xml 형태로 파일이 드롭되며 드롭된 파일은 자동실행 후 C&C에 접속을 시도합니다. 

 

 

[그림 4] 매크로 실행 후 드롭되는 xml 파일

 


하지만 분석 시점에 C&C 서버의 접속이 불가하여 추가 분석은 할 수 없었습니다. 

 

이번 위협은 ‘탈륨(Kimsuky라고도 함)’의 대표적인 3대 위협 중 하나인 ‘스모크 스크린’ 캠페인의 연장선으로 확인되었습니다. 

 

IoC

hxxp://asenal.medianewsonline[.]com/good/luck/flavor/list.php?query=1
hxxp://asenal.medianewsonline[.]com/good/luck/flavor/show.php


현재 알약에서는 Trojan.Downloader.DOC.Gen로 탐지중에 있습니다.