수입 신고서를 위장하여 국내 연구 기관을 노리는 Kimsuky - ASEC BLOG 관련 IOC 4개 발견
AhnLab Security Emergency Response Center(ASEC)는 Kimsuky 공격 그룹이 국내 연구 기관을 대상으로 유포한 악성 JSE 파일을 확인하였으며, 공격자는 백도어를 활용하여 정보 탈취 및 명령을 수행하고 있습니다. 파일 내부에는 난독화된 파워쉘 스크립트, Base64 인코딩된 백도어 파일 및 정상 PDF가 존재하며, 파워쉘 스크립트를 통해 정상 PDF가 자동 실행되고 있습니다. 이로 인해 사용자들이 악성 백도어 파일이 실행되고 있음을 인지하기 어렵게 되고 있습니다.
AhnLab Security Emergency Response Center(ASEC)가 Kimsuky 공격 그룹이 국내 연구 기관을 대상으로 유포한 악성 JSE 파일을 확인하였으며, 백도어를 활용하여 정보 탈취 및 명령을 수행하고 있음을 확인했다. 파일 내부에는 난독화된 파워쉘 스크립트, Base64 인코딩된 백도어 파일 및 정상 PDF가 존재하며, 파워쉘 스크립트를 통해 정상 PDF가 자동 실행되고 있어 사용자들이 악성 백도어 파일이 실행되고 있음을 인지하기 어렵게 되고 있다.
Ahnlab
KIMSUKY -ASEC Blog
Ahnlab Security Emergency Response Center (ASEC) has confirmed malicious JSE files distributed by domestic research institutes by KIMSUKY attack groups, and the attacker uses backdoor deodorization and commands.Inside the file, there is an obfuscated power shell script, a base64 encoded backdoor file and a normal PDF, and the normal PDF is automatically executed through the power shell script.This makes it difficult for users to recognize that malignant backdoor files are running.
Ahnlab Security Emergency Response Center (ASEC) confirmed that the KIMSUKY attack group confirmed the malicious JSE file distributed to domestic research institutes and used the backdoor to take over and perform information.Inside the file, there is an obfuscated power shell script, Base64 encoded backdoor file and normal PDF, and the normal PDF is automatically executed through the power shell script, making it difficult for users to recognize that malignant backdoor files are running.
https://asec.ahnlab.com/ko/59209/