킴수키(Kimsuky), '카지노 파칭코 안전국' 메일을 위장한 해킹 시도!

​

카지노 파칭코안전국을사칭한피싱메일이유포되고있어사용자들의각별한주의가필요합니다.

이번 피싱 메일은 대북 관련 법인 종사자에게 발송되었으며, 카지노 파칭코 안전국에서 발송된 메일처럼 위장하고 있습니다.

피싱 메일에는 '정보통신망이용촉진 및 정보보호' 의 압축파일이 첨부되어 있으며, 본문에는마치사용자가카지노 파칭코안전국카지노 파칭코범죄상담코너에상담을신청한것처럼작성되어있으며,법령위반,법적책임및아이디도용과같은단어들을사용하면서사용자의불안감을조성하여첨부파일열람을유도합니다.

카지노 파칭코내용은다음과같습니다.

안녕하세요경찰청카지노 파칭코안전국입니다.
카지노 파칭코안전국카지노 파칭코범죄상담코너를이용해주셔서감사드립니다.

회원님께서발송하신메일은법령위반의우려가있고,경우에따라서는회원님께서법적책임을부담하실수있습니다.고객님께서직접네이버메일계정에서스펨메일들을발송한적이없는데이카지노 파칭코받았다면다른사람이회원님의아이디를도용하였을가능성도있습니다.

자세한내용은첨부화일로보내드립니다.

귀하의빠른피해복구가되길기원하며귀하와귀하의가정에행복이가득하시기바랍니다.

감사합니다.


담당자:카지노 파칭코수사기획계김지국

본문 중 사용된 '화일'의 경우 북한의 '파일' 표기법이라는점이 주목할만 합니다.

첨부파일내부에는'정보통신망이용촉진및정보보호.chm'파일이포함되어있습니다.

사용자가 압축을 해제하고 chm 파일을 실행하면 사용자에게는 정상적인 답변 내용이 포함된 도움말 창을 보여주어 정상 파일인것 처럼 보여주지만, 백그라운드에서는 Click() 함수를 통해 악성 스크립트를 실행합니다.

​
스크립트가 실행되면 인코딩된 명령어를 Document.dat에 저장하고, Certutil을 이용하여 디코딩한 명령어를 Document.vbs로 저장합니다. 이후 Document.vbs를 레지스트리 Run 키에 등록하여 연속성을 확보합니다. 최종적으로 Document.vbs는hxxp://ibsq[.]co.kr/config/demo.txt의 파워쉘 스크립트 코드를 실행하며 사용자 정보 탈취를 시도합니다.

ESRC는 코드 분석결과 이번 공격의 소행은 북한의 지원을 받는 카지노 파칭코(Kimsuky)조직으로 결론지었습니다.

최근 CHM 파일을 이용한 카지노 파칭코 조직의 공격이 다수 발견되고 있는 만큼, 대북 관련 종사자 여러분들의 각별한 주의가 필요합니다.현재 알약에서는 해당 악성파일에 대해Trojan.Dropper.CHM로 탐지중에 있습니다.

IoC

ded83a6bd7438b34b058f2fe5ee54c7e
0f1a2d2104269be9afadaab2b644fbb6
7ba620bf5151e68890d818629587cb14
hxxp://ibsq[.]co.kr/config/demo.txt
hxxp://ibsq[.]co.kr/config/show.php