# Kimsuky 그룹, 약력 양식 파일로 위장한 악성코드 유포 (GitHub)

**asec.ahnlab.com/ko/50275/**

By Vanish 2023년 3월 23일

AhnLab Security Emergency response Center(ASEC)에서는 특정 교수를 사칭하여 약력 양식
내용으로 위장한 워드 문서를 이메일을 통해 유포한 것을 확인했다.

확인된 워드 문서의 파일명은 **‘[붙임] 약력** 양식.doc’이며 문서에는 암호가 설정되어 있는데
이메일 본문에 비밀번호가 포함되어 있다.


-----

그림 1. 메일 원문


-----

그림 2. 워드 문서 본문 내용 중 일부

그림 3. 문서 속성

워드 문서 내에 악성 VBA 매크로가 포함되어 있으며 매크로 활성화 시 PowerShell을 통해
C2에 접속하여 추가 스크립트를 다운로드 및 실행한다.

그림 4. 악성 VBA 매크로 코드 일부 (난독화 제거)

최종적으로 실행되는 악성코드 유형은 뉴스 설문지로 위장하여 [유포](https://asec.ahnlab.com/ko/42163/) 중인 악성 워드 문서에서
확인된 유형과 일치하며 브라우저에 저장된 정보를 수집한다.


-----

그림 5. 최종 스크립트 코드 일부

하지만, FTP를 이용하여 사용자 정보를 유출하는 이전 코드와는 달리 GitHub API를 이용해
특정 Repository로 전송하는 변형 스크립트인 것을 확인했다.


-----

그림 6. Github API를 통해 수집한 정보 전송 (최종 스크립트 코드 일부)

해당 GitHub Repository에는 피해자로부터 수집한 정보로 추정되는 정보들이 업로드되어 있
는 상태이다.

그림 7. GItHub에 업로드된 정보

또한, 최근 Red Eyes 공격 그룹(also known as APT37, ScarCruft)도 GitHub를 악성코드 유포
지로 활용하는 사례도 확인되었다. (아래 References 참고)


-----

이처럼 공격에 사용되는 스크립트가 지속적으로 변하고 있기 때문에 사용자의 각별한 주의가
필요하다.

**[파일** 진단]

Downloader/DOC.Generic (2023.02.22.02)

Trojan/PowerShell.FileUpload.S2023 (2023.02.25.00)

**[IOC]**

**MD5**

A25ACC6C420A1BB0FDC9456B4834C1B4

393CBA61A23BF8159053E352ABDD1A76

**C2**

hxxp://hmcks.realma.r-e[.]kr/gl/ee.txt

**[References]**

1) https://blog.sekoia.io/peeking-at-reaper-surveillance-operations-against-north-koreadefectors/

2) [https://thehackernews.com/2023/03/scarcrufts-evolving-arsenal-researchers.html](https://thehackernews.com/2023/03/scarcrufts-evolving-arsenal-researchers.html)

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구
독 서비스를 통해 확인 가능하다.

[Categories:악성코드](https://asec.ahnlab.com/ko/category/malware-information/) 정보

[Tagged as:ASEC,북한,김수키,보안,Github,킴수키,피싱,악성코드,약력](https://asec.ahnlab.com/ko/tag/asec/) [양식,Kimsuky,phishing](https://asec.ahnlab.com/ko/tag/kimsuky/)


-----