[2019.01.31] Cisco Korea 채용 공고를 이용한 한국인 대상 공격

요약

- Talos는 한국인 대상 Cisco Korea의 채용공고 Microsoft Word 파일을 이용한 공격에 대해 분석 자료 발표

- 악성 파일 : 악성 MS Word 파일의 내용은 공식 홈페이지의 채용 공고를 그대로 복사한 것. 

- 악성 코드 : MS Word 파일 내 악성 매크로가 존재해 악성 실행 파일 추출함.

(1) 악성 PE32 실행 파일명 : jusched.exe (Java 업데이터 바이너리 파일 이름과 동일)

(2) 악성 실행 파일 추출 경로 : %APPDATA%\Roaming

(3) 악성 코드: 

① 바이너리 : HTTP를 통해 C&C서버에 접속 시도. 감염시스템에 추가 악성 행위를 위한 스크립트나 PE32실행 파일을 

                 추가로 전송 받는 것으로 보임.

② API 난독화 : 공격자는 4개의 API호출을 숨김. API는 프로세서 생성과 네트워크 커뮤니케이션과 연관 됨.  

(4)정상 웹사이트를 C&C서버로 사용 (www[.]secuvision[.]co[.]kr/)

- 과거 공격과 연관성

(1) 2017년 8월, “주요 IT 정보보호 및 보안 업체 리스트.zip” : 

동일 매크로 기능, 

다른 악성 실행 파일 추출(이름은 동일: jusched.exe) 

동일 API 난독화

정상 웹사이트를 C&C서버로 사용(www[.]syadplus[.]com)

(2) 2017 년 11월, “이력서_자기소개서.xls”:

동일 매크로 기능

다른 악성 실행 파일 추출

악성 파일 : 이력서 양식

정상 웹사이트 C&C서버로 사용(ilovesvc[.]com,)

- 동일한 공격방법(tactic), 테크닉(techniques), 공격 순서(procedures)가 다수의 유사 공격에 사용됨. 

- 해당 공격은 오랜 시간 지속되었고 현재도 진행 중인 것으로 보임 .

 

영향성

정상 파일로 가장한 악성 첨부파일에 대한 주의 필요

참고자료

Talos 분석 : https://blog.talosintelligence.com/2019/01/fake-korean-job-posting.html