ALL MENU

Technology
S2W's Technology
AI
Big Data
Security
Products
SAIP
QUAXAR
XARVIS
EYEZ
Services
Incident Response
Analyst On Demand
Resources
Event
Webinar
SIS
Conference
About S2W
About S2W
History
News

QUICK LINKS

Resources
  • 연구
  • 위협 정보 단편 보고서
Kimsuky 그룹의 Babyshark 악성코드 캠페인
2025.01.22

✅ 보고서 제목:

Kimsuky 그룹의 Babyshark 악성코드 캠페인의 간략한 개요 - 방위산업 테마로 위장된 HWP 문서

*Babyshark란? Babyshark는 국제 안보를 위협하는 북한 배후의 APT 그룹인 Kimsuky(김수키)가 최소 2019년부터 정보 탈취를 목적으로 사용해 온 악성코드로, 주로 스피어 피싱 이메일에 첨부된 악성 파일이나 링크를 통해 유포됩니다.



✅ 보고서 요약:

1) 샘플 정보

2025년 1월 13일에 방위산업 디지털 혁신 세미나 계획으로 위장한 피싱 이메일이 발견되어 분석을 진행하였습니다.

- Filename: [최초 수신 메일] 한국방위산업학회 방위산업 디지털 혁신 세미나 계획을 전파드립니다.
- MD5: 8a801a356d5a7b3235b920e4d36336d2

2) 악성코드 동작 방식 및 주요 기능

첨부된 HWP 문서는 OLE 객체를 포함한 악성 파일로, 실행 시 추가 파일을 드롭하여 지속성을 유지하고, C2 서버에서 악성 페이로드를 수신 및 실행합니다.

드랍된 파일은 Babyshark 유형의 악성코드로, 해당 악성코드는 지정된 타겟에게만 최종 페이로드를 다운로드하며 과거 최종 페이로드로 QuasarRAT 악성코드가 유포된 이력이 존재합니다.

3) 연관성 분석

"comline”을 URL 쿼리 값으로 사용하는 C2 URL 형식 및 manifest 파일을 이용한 VB 스크립트 실행 방식은 Kimsuky 그룹의 Babyshark 악성코드와 동일합니다.

또한, 지속성 유지를 위해 등록된 Windows 작업 스케줄러명 “TemporaryStatescleanesdfrs”은 과거 MSC 형식을 사용한 Babyshark 캠페인에서도 유사하게 사용된 이력이 존재합니다.

4) 대응 방안

출처가 불분명한 이메일의 첨부파일 실행을 주의하며, 문서 내 확인되지 않은 개체 또는 하이퍼링크 실행을 차단해 위협을 사전에 방지할 것을 권고드립니다.



📌 메일에 첨부된 악성 한글 파일은 어떻게 작동하나요?

메일에 첨부된 파일은 비밀번호 입력이 필요한 한글 문서로, 메일 본문에 명시된 비밀번호 입력 시 열람이 가능합니다. 이때, 해당 문서 내부에는 OLE 객체가 삽입되어 있어 문서가 실행될 시 %AppdataLocal% 하위의 Temp 경로에 추가 파일이 드랍됩니다.

- Filename: 한국방위산업학회 방위산업 디지털 혁신 세미나(계획).hwp
- MD5: 63a119714f01d9ff57c51614c9727f84
- Date String: 2017년 8월 3일 목요일 오후 4:55:39
- Last Saved By: scorpion
- Create Time/Data : 2004년 11월 10일 수요일 오전 12:23:46
- Last saved Time/Data: 2024년 12월 12일 목요일 오후 7:11:34

공격자는 악성 파일을 실행하기 위해 한글 문서 내 각각 PDF와 DOCX 버전의 세미나 계획 자료를 열람할 수 있는 하이퍼링크를 추가하여 사용자의 클릭을 유도하였습니다. 각 하이퍼링크는 클릭시 다음과 같은 행위를 수행합니다.

- 한국방위산업학회 방위산업 디지털 혁신 세미나(계획).pdf
- %AppdataLocal%/Temp/default.bat 실행
- 한국방위산업학회 방위산업 디지털 혁신 세미나(계획).docx
- %AppdataLocal%/Temp/document.bat 실행


📌 다운로드 된 페이로드(Payload)는 어떻게 작동하나요?

PDF 버전 하이퍼링크를 클릭하면 VBEdit와 동일한 경로에 위치한 1212.bat 스크립트가 실행됩니다. 이 스크립트는 단순한 다운로드 역할을 수행하며, curl 명령어를 사용해 하드코딩된 공격자의 C2 서버에서 추가 파일을 다운로드하고 저장합니다.

- Download URL: hxxps[:]//www[.]elmer[.]com[.]tr/modules/mod_finder/src/Helper/1212_pprb_all/dksleks?newpa=comline
- Download Path: %AppData%/Microsoft/wis.db

Babyshark 악성코드는 타겟의 IP 주소를 확인해 특정 대상에만 악성 페이로드를 전달합니다. 분석 당시 C2 서버의 페이로드 경로는 삭제된 상태였으나, 과거 Babyshark 악성코드를 통해 QuasarRAT이 유포된 이력이 있으로 원격 제어 또는 정보 탈취 목적의 추가 악성코드 다운로드 가능성이 존재합니다.



✅ 위협 탐지 권장 사항 및 조치 방안:

- 2025년 1월 13일에 방위산업 디지털 혁신 세미나 계획으로 위장한 피싱 이메일이 발견되어 분석을 진행합니다.

- 피싱 이메일에 첨부된 HWP 문서는 OLE 객체가 포함된 악성 파일로, 실행시 Babyshark 유형의 추가 파일을 드랍하여 지속성 유지 및 C2 서버로부터 악성코드 페이로드를 수신하고 실행합니다.

- 해당 유형의 악성코드는 지정된 타겟에게만 최종 페이로드를 다운로드하며, 과거 동일한 유형의 악성코드로부터 QuasarRAT 악성코드가 유포된 이력이 존재합니다.

- 사용자는 출처가 불분명한 이메일에 첨부된 파일의 실행에 주의해야하며, 문서 내 확인되지 않은 개체 또는 하이퍼링크의 실행을 기본적으로 차단하여 위협을 사전에 방지할 것을 권고합니다.



🧑‍💻 보고서 작성자: S2W TALON (2025-01-15 기준)

👉 보고서 전문 문의하기: https://s2w.inc/ko/contact


*해당 보고서는 별도 문의 가능하며 S2W의 QUAXAR 플랫폼 구독 시 전문으로 제공됩니다.


뉴스 하이라이트
1월 3주차 위클리 다크웹
2025.01.22
이전 글
목록
SunMonTueWedThuFriSat
2930311234567891011121314151617181920212223242526272829303112345678