kimsuky_악성 HWP 한글

악성 한글 문서 내용

- 한반도 대북 정책 관련 한미/한중 외교에 관한 질문 내용

 

공격 대상

- 국내 주요 공공기관 및 기업

은 정확히 확인하지 못하였으나, 관련 전문가 또는 참가자를 대상으로 했을 것이라 한다.

 

공격자

- CVE-2017-8291 고스트스크립트 취약점을 이용한 학성 EPS 이미지 포맷 파일을 문서에 삽입하여 악성 기능을 실행함.

 

---

파일정보

- 파일 타입: 한글 워드프로세서 문서

- 파일명: kinu 전문가 자문 요청사항(한미동맹과 한중관계).hwp

- MD5: ~

- SHA256: ~

 

---

주요행위

- 프로세스에 악성코드 인젝션

악성 한글 문서는 인젝션을 두 번 수행한다. 인젝션 결과 프로세스 트리는 위와 같이 그려진다. 이 과정은 최근 확인되고 있는 kimsuky 유형 hwp 악성코드의 특징이다.

1. gswin32c.exe 프로세스가 한글 프로그램 실행 시 실행되는 HimTrayIcon.exe 프로세스에 쉘코드 인젝션 - RtlCreateUserThread 이용

2. HimTrayIcon.exe 프로세스가 정상 userinit.exe 프로세스를 자식 프로세스로 실행 한 뒤 메모리에 악성 PE를 재구성하여 인젝션 - Context Thread 이용

 

---

C&C 접속 및 공격 대상 정보 유출

userinit.exe 프로세스에 인젝션 된 PE파일은 공격 대상 정보 수집 및 유출 기능이 있음.

 

시스템에 생성한 'a_<랜덤>.bat' 파일을 이용하여 커맨드 명령어를 수행한다.

---

정리

한글문서파일이 실행될 경우 gswin32c.exe 또는 gbb.exe 프로세스도 같이 실행되고, 정상적으로 생성되는 HimTrayIcon.exe 프로세스에 쉘코드 인젝션을 수행하여 장악(?) 후 HimTrayIcon.exe 프로세스에서 userinit.exe 프로세스를 자식 프로세스로 생성하여 메모리에 악성 PE를 재구성하여 인젝션 함

---

URL

https://asec.ahnlab.com/1253?fbclid=IwAR15PR5nAOXHi8lqOFJSMNK-q0jvjq_GAvEqOE6aaYAYS9cKpL5cBGD-pus

Kimsuky 조직 악성 HWP 한글 문서 유포

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=27856