Home > 전체기사

군부대 유지보수 업체 타깃 ‘AppleSeed’ 악성코드 유포

  |  입력 : 2022-07-24 23:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
AppleSeed, 김수키(Kimsuky) 조직에서 주로 사용되는 백도어성 악성코드

[보안뉴스 원병철 기자] 최근 특정 군부대 유지보수 업체를 대상으로 ‘AppleSeed’ 악성코드가 유포되는 정황이 발견돼 관계자들의 주의가 요구된다. 안랩 ASEC 분석팀에 따르면 AppleSeed 악성코드는 김수키(Kimsuky) 조직에서 주로 사용되는 백도어성 악성코드로 최근 여러 대상을 타깃으로 활발히 유포하고 있다.

▲악성코드 파일[자료=ASEC]


이번에는 특정 군부대의 이름이 담긴 파일명으로 악성코드 유포가 이루어졌다.

20220713_****부대_설치 예상 일정V004_***시스 수정_6.xls

최초 엑셀 문서 형태(XLS)로 유포가 이루어졌으며, 백신을 우회하기 위해서인지 엑셀 파일은 암호로 보호되고 있다. 해당 문서 파일을 실행하면 콘텐츠 사용 버튼을 클릭하도록 유도하는 내용이 보이며, 콘텐츠 사용 버튼을 클릭하면 매크로에 의해 XLS 문서로 본문이 바뀌게 된다.

▲XLS 문서 파일 본문(매크로 실행 전)[자료=ASEC]


▲XLS 문서 파일 본문(매크로 실행 후)[자료=ASEC]


매크로 내용을 확인해보면, 기존 본문은 보이도록, 매크로 사용 유도 본문은 숨김 처리하며, mshta를 이용하여 특정 C2에서 추가 스크립트를 다운로드 받아 실행한다.

▲문서 내 악성 매크로 내용[자료=ASEC]


추가 스크립트는 AppleSeed를 다운로드 받아 실행하는 루틴이 담겨져 있으며, 아래 경로에 저장되어 실행된다.

경로 : %ProgramData%\Software\ControlSet\Service\ServiceScheduler.dll
실행 인자 : regsvr32.exe /s /n /i:12345QWERTY [AppleSeed 경로]


AppleSeed가 실행되면 지속적으로 명령제어(C2) 서버로부터 명령을 받은 후, 추가 모듈을 다운로드 받아 실행하거나 공격자가 원하는 행위를 일으킬 수 있다.

안랩 ASEC 분석팀은 “AppleSeed를 주로 사용하는 Kimsuky 조직은 공격에 성공할 확률을 높이기 위해 다양한 방법으로 공격을 시도하고 있다”면서, “출처가 불분명한 메일의 첨부 파일을 실행하지 않도록 주의가 필요하며, 매크로 파일의 경우 확실히 신뢰할 수 있는 파일만 매크로를 실행하도록 해야 한다”고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)