김수키(Kimsuky) 그룹, 러시아 외무부를 타겟으로 betman 토토 진행중!

김수키(Kimsuky) 그룹이 러시아 외무부를 타겟으로 진행한 betman 토토이 포착되었습니다.

이번에 포착된 betman 토토은 이메일을 통해 진행되었으며, Kimsuky 그룹은 선제적 betman 토토을 통해 탈취한 심양 러시아 총 영사관 계정을 사용하여 일본 러시아 총 영사관에추가 betman 토토행위를 시도한 것으로 추정됩니다.

​

​[그림 1] 러시아 총 영사관에 진행된 betman 토토 메일

해당betman 토토은대사관회계과를위장한이메일을통해시도되었으며,자금이체를위한대사관정보를보내드린다는내용과함께파일을첨부하였습니다.

첨부betman 토토내에는다음과같은2개의betman 토토이포함되어있습니다.
-_PyongyangintalkswithMoscowonaccesstoDonbass.pptx
-Donbass.ppam

1)_PyongyangintalkswithMoscowonaccesstoDonbass.pptx

[그림 2] _Pyongyang in talks with Moscow on access to Donbass.pptx betman 토토

해당 betman 토토에서는 5월 22일 열렸던 남북정상회담 내용을 포함하고 있으며, betman 토토 내부에 외부 주소가 존재하지만 악성으로 보이는 부분은 존재하지 않습니다.

2)Donbass.ppam
해당 betman 토토 내에는 매크로 코드가 포함되어 있습니다.

​

​[그림 3] Donbass.ppam betman 토토

​

[그림 4] Donbass.ppam betman 토토 내부에 포함되어 있는 매크로

매크로 내부에는 oup명의 vbs 파일이 포함되어 있으며, 해당 vbs 파일이 5분마다 실행되도록 작업 스케줄러 등록을 betman 토토합니다.

해당vbs파일내에는betman 토토자가지정해놓은C&C서버주소가포함되어있으며,5분마다한번씩실행하며betman 토토자의추가명령을대기합니다.

ESRC분석시점,추가로내려지는악성betman 토토이없어더이상분석이불가하였습니다.

이번betman 토토에서주목할만한점은ppam확장자가사용되었다는것입니다.

일반적으로MS의PowerPoint를사용하여betman 토토저장시,.ppt,.pptx확장자로저장이되는데해당확장자의경우매크로실행이허용되지않습니다.

반면,.ppam확장자는PowerPointAdd-In으로사용자지정명령,VBA(VisualBasicforApplications)코드및추가기능과같은특수기능을저장하는추가기능입니다.즉betman 토토내부에VBA(VisualBasicforApplications)코드를포함하고있다는뜻이기도합니다.

PowerPoint에서지원되는betman 토토형식에대한자세한내용은여기에서참고하실수있습니다.

최근betman 토토자들이PowerPoint에VBA코드가포함되어있는.pptm,ppam과같은형태로betman 토토을진행중에있는만큼,사용자여러분들은이메일첨부파일실행전,반드시확장자를확인하시기를권고드립니다.

​