10월 북한 내부정보로 현혹하는 탈륨 해킹 조직의 APT 꽁 머니 바카라

마치 북한의 최근 내부 소식인 듯 현혹하는 악성 HWP 문서 파일 꽁 머니 바카라이 발견돼 각별한 주의가 필요합니다.

문서를 실행하면 깨진 글자 들이 보여지며 "호환 문서" 메세지 박스를 출력 합니다. 

[그림 1] HWP 실행 화면

만약 사용자가 문서를 확인하기 위해 프로그램을 선택하면 [그림 2]와 같은 보안 경고 화면을 출력해 한번 더 사용자의 클릭을 유도합니다. 

[그림 2] 보안 경고 화면

만약 사용자가 “열기”를 클릭하면 %temp%아래 "호환 문서 프로그램 실행.lnk", "qwer1234.txt" “qwer1234.tmp”파일들이 드롭되고 명령어가 실행됩니다.

사용자들에게는 꽁 머니 바카라 내부 소식의 내용으로 아래와 같은 화면이 보여집니다.

[그림 3] 실행 파일 화면

한편 호환 문서 프로그램 실행.lnk 바로가기에서 공격자의 악성 파일 제작 폴더 경로를 남긴 흔적이 발견되었습니다. 

[그림 3] 악성 파일에 남겨진 꽁 머니 바카라자의 악성 파일 제작 폴더 경로 화면

드롭된 qwer1234.txt 파일은 PE 파일로 추가 파일 다운로드 후 실행 합니다.  그러나 현재는 연결되지 않습니다.

[그림 4] 추가 파일 다운로드 및 실행 코드

10월 22일 한국외교협회를 사칭한 추가 파일이 발견되었습니다. 동작과 악성코드 기능은 위에 언급한 파일과 유사합니다. 

[그림 5] 한국 외교협회를 사칭한 추가 파일

[그림 6] 추가 발견된 코드 화면

꽁 머니 바카라의 내부 소식이나 한국 외교협회를 사칭한 악성코드들이 발견되고 있습니다. 따라서 출처가 불분명한 파일을 확인할 경우 신중을 기해야 하며 백신 업데이트 최신화와 정기 검사를 습관화하여야 합니다.

현재 알약에서는 ‘Exploit.HWP.Agent’ , ‘Trojan.Agent.99328C’ 으로 탐지 중입니다.