개인정보 유출 관련 내용으로 위장한 피싱 메일 유포 (Konni)
Contents
AhnLab Security Emergency response Center(ASEC)은 최근 Konni 공격 그룹에 의해 개인정보 유출 관련 자료를 위장한 악성 exe 파일이 개인을 대상으로 유포되고 있음을 확인하였다. C2가 닫혀있어 최종 행위는 확인하지 못하였지만 공격자에게 난독화된 명령을 받아 xml 형식으로 실행하는 백도어형 악성코드이다.
악성 exe 파일을 실행하면 .data section에 존재하는 파일들을 %Programdata% 폴더에 생성한다. 생성된 파일들은 정상 doc 파일을 제외하고 난독화가되어있다.
- Lomd02.png (악성 jse 스크립트)
- Operator.jse (악성 jse 스크립트)
- WindowsHotfixUpdate.jse (악성 jse 스크립트)
- 20231126_9680259278.doc (정상 doc 문서)
- WindowsHotfixUpdate.ps1 (악성 powershell 스크립트)
생성된 파일 중 정상 ‘20231126_9680259278.doc’ 문서도 포함하여 사용자로 하여금 정상적인 파일이 실행된 것으로 보여지게 하려는 공격자의 의도로 보인다.
Operator.jse은 WindowsHotfixUpdate.jse를 실행시키는 작업 스케줄러를 생성하며, WindowsHotfixUpdate.jse은 WindowsHotfixUpdate.ps1 파일을 실행시키는 기능을 한다. WindowsHotfixUpdate.ps1 파일은 C2에서 명령을 받아오는데 이때 명령은 난독화 되어 있을 것으로 보인다. Lomd02.png 파일명의 jse 파일이 이 난독화된 명령을 복호화하여 xml 형태로 로드하는 것으로 확인되기 때문이다.
현재는 C2와의 접속이 불가능하여 추가 명령확인이 어려우나, C2로부터 전달되는 명령에 따라 다양한 추가 공격이 가능할 것으로 보인다.
- 작업 스케줄러 이름: WindowsHotfixUpdate[B409302303-02940492024]
- 트리거: …
악성 exe 파일을 실행하면 .data section에 존재하는 파일들을 %Programdata% 폴더에 생성한다. 생성된 파일들은 정상 doc 파일을 제외하고 난독화가되어있다.
- Lomd02.png (악성 jse 스크립트)
- Operator.jse (악성 jse 스크립트)
- WindowsHotfixUpdate.jse (악성 jse 스크립트)
- 20231126_9680259278.doc (정상 doc 문서)
- WindowsHotfixUpdate.ps1 (악성 powershell 스크립트)
생성된 파일 중 정상 ‘20231126_9680259278.doc’ 문서도 포함하여 사용자로 하여금 정상적인 파일이 실행된 것으로 보여지게 하려는 공격자의 의도로 보인다.
Operator.jse은 WindowsHotfixUpdate.jse를 실행시키는 작업 스케줄러를 생성하며, WindowsHotfixUpdate.jse은 WindowsHotfixUpdate.ps1 파일을 실행시키는 기능을 한다. WindowsHotfixUpdate.ps1 파일은 C2에서 명령을 받아오는데 이때 명령은 난독화 되어 있을 것으로 보인다. Lomd02.png 파일명의 jse 파일이 이 난독화된 명령을 복호화하여 xml 형태로 로드하는 것으로 확인되기 때문이다.
현재는 C2와의 접속이 불가능하여 추가 명령확인이 어려우나, C2로부터 전달되는 명령에 따라 다양한 추가 공격이 가능할 것으로 보인다.
- 작업 스케줄러 이름: WindowsHotfixUpdate[B409302303-02940492024]
- 트리거: …
IoC
682b5a3c93e107511fdd2cdb8e50389a
78ea811850e01544ca961f181030b584
a93474c3978609c8480b34299bf482b7
b58eb8a3797d3a52aba30d91d207b688
d06d1c2ec1490710133dea445f33bd19
d634cb7b45217ca4fd7eca5685a64f50
http://gjdow.atwebpages.com/dn.php?name=
78ea811850e01544ca961f181030b584
a93474c3978609c8480b34299bf482b7
b58eb8a3797d3a52aba30d91d207b688
d06d1c2ec1490710133dea445f33bd19
d634cb7b45217ca4fd7eca5685a64f50
http://gjdow.atwebpages.com/dn.php?name=