김수키(Kimsuky) 등기필정부 및 등기완료 통지서로 위장한 악성코드-[HF].chm(2023.11.14)
Contents
오늘은 일단 해당 악성코드 만든 쪽이 김수키(Kimsuky) 인지 라자루스(Lazarus)인지 헷갈리지만, 私見 이지만 [HF].chm은 김수키(Kimsuky) 일 확률이 99%입니다. 뭐~대충 유추해보면 대북 관계인데. 이번에는 등기필정보 즉 부동산등기법 제2조 제4호에 있는 등기부에 새로운 권리자로 기록되는 경우 즉 매매 등 유상거래나 증여, 상속 등 무상으로 소유권을 이이전받게되면 그 권리자를 확인하기 위하여 등기관이 작성한 정보를 가지고 대한민국 법원에서 온 것처럼 위조?? 아니며 다른 컴퓨터 해킹해서 가져왔거나 북한 애들이 15,000원이라는 수수료를 내지 않을 것이며 100% 해킹했거나 위조일 확률이 높을 것입니다. 일단 해당 악성코드는 chm 파일방식을 사용하고 있으며 일단 실행을 하면 VBS Script를 동작합니다.
먼저 악성코드 해쉬값은 다음과 같습니다.
파일명:[HF].chm
사이즈:612 KB
MD5:f35b05779e9538cec363ca37ab38e287
SHA-1:d4fa57f9c9e35222a8cacddc79055c1d76907fb9
SHA-256:da79eea1198a1a10e2ffd50fd949521632d8f252fb1aadb57a45218482b9fd89
악성 VBS Script
Set jvliej(l)aiefla (=) GetObject("winmg(m)ts:win32(_)ProcessStartup") Set eil(i)rlaie = jvlie(j)laiefla.SpawnInstance_ eilirlaie.ShowWindow (=) 0 bklliea = Left(WScript(.)ScriptFullName, InstrRev(WScript(.)ScriptFullName, "\") (-) 1) Set qe(l)vkad = GetO(b)ject("winmgm(t)s:win32(_)process") sbbrd = qelvkad(.)Create(bkll(i)ea (&) "\2034923(.)bat", Nu(l)l, eil(i)rlaie, pid) Set qe(l)vkad = No(t)hing Set eilir(l)aie = Not(h)ing Set jvliejla(i)efla = No(t)hing
를 먼저 동작을 합니다.
코드 설명
해당 코드는 VBScript를 사용하여 윈도우 환경에서 새로운 프로세스를 시작하는 스크립트
1.Set jvlie(j)laiefla (=) …
먼저 악성코드 해쉬값은 다음과 같습니다.
파일명:[HF].chm
사이즈:612 KB
MD5:f35b05779e9538cec363ca37ab38e287
SHA-1:d4fa57f9c9e35222a8cacddc79055c1d76907fb9
SHA-256:da79eea1198a1a10e2ffd50fd949521632d8f252fb1aadb57a45218482b9fd89
악성 VBS Script
Set jvliej(l)aiefla (=) GetObject("winmg(m)ts:win32(_)ProcessStartup") Set eil(i)rlaie = jvlie(j)laiefla.SpawnInstance_ eilirlaie.ShowWindow (=) 0 bklliea = Left(WScript(.)ScriptFullName, InstrRev(WScript(.)ScriptFullName, "\") (-) 1) Set qe(l)vkad = GetO(b)ject("winmgm(t)s:win32(_)process") sbbrd = qelvkad(.)Create(bkll(i)ea (&) "\2034923(.)bat", Nu(l)l, eil(i)rlaie, pid) Set qe(l)vkad = No(t)hing Set eilir(l)aie = Not(h)ing Set jvliejla(i)efla = No(t)hing
를 먼저 동작을 합니다.
코드 설명
해당 코드는 VBScript를 사용하여 윈도우 환경에서 새로운 프로세스를 시작하는 스크립트
1.Set jvlie(j)laiefla (=) …
IoC
d4fa57f9c9e35222a8cacddc79055c1d76907fb9
da79eea1198a1a10e2ffd50fd949521632d8f252fb1aadb57a45218482b9fd89
f35b05779e9538cec363ca37ab38e287
https://niscarea.com
da79eea1198a1a10e2ffd50fd949521632d8f252fb1aadb57a45218482b9fd89
f35b05779e9538cec363ca37ab38e287
https://niscarea.com