Http://xxxxxxxxxxx.xxxxxx.xxxxxxxx.com/images/png/error.php

MS-Office 수식 편집기 취약점을 이용해 설치되는 키로거 (Kimsuky) - ASEC BLOG 관련 IOC 4개 발견

Kimsuky 공격 그룹이 MS오피스에 포함된 수식 편집기 프로그램(EQNEDT32.EXE)의 취약점(CVE-2017-11882)을 악용해 키로거 악성코드를 유포하는 것이 ASEC에서 확인됐다. 공격자는 mshta 프로세스로 악성 스크립트가 삽입된 페이지를 실행하는 방식으로 악성코드를 유포했으며, 사용자는 접속하는 것 처럼 보이지만 실제로는 악성 스크립트가 실행되는 것을 확인할 수 있다. 스크립트는 C2 서버에서 추가 악성코드를 받아와 실행하고, Users\Public\Pictures 경로 하위에 desktop.ini.bak 파일을 생성하며, 재실행을 위해 HKLM 하위 Run키에 등록하는 행위를 한다.

ASEC에서는 Kimsuky 공격 그룹이 MS오피스의 수식 편집기 프로그램(EQNEDT32.EXE) 취약점을 악용해 키로거 악성코드를 유포하는 것을 확인했다. 공격자는 mshta 프로세스로 악성 스크립트가 삽입된 페이지를 실행하는 방식으로 악성코드를 유포했고, 스크립트는 C2 서버에서 추가 악성코드를 받아와 실행하고, 파일 생성과 레지스트리 키 등록을 한다.

Ahnlab
KiMSUKY installed using MS -Office modifier vulnerabilities -ASEC Blog

It was confirmed by the ASEC that the KIMSUKY attack group exploited the vulnerabilities (CVE-2017-11882) of the formula editor program (EQNEDT32.EXE) included in the Microsoft Office.The attacker distributed malicious code by running a page with a malicious script inserted in the MSHTA process, and the user may seem to be connected, but it can be confirmed that the malicious script is actually executed.The script receives and runs additional malware from the C2 server, creates a Desktop.ini.bak file at the bottom of the users \ public \ pictures, and registers it in the HKLM sub RUN key for reinforcement.

The ASEC confirmed that the KIMSUKY attack group was disseminating the malware by exploiting the vulnerability of the Microsoft Office (EQNEDT32.EXE).The attacker distributed the malware by running a page with a malicious script inserted with the MSHTA process, and the script receives an additional malicious code from the C2 server and runs the file creation and registers a registry key.
https://asec.ahnlab.com/ko/66135/