lazarusholic

Everyday is lazarus.dayβ

김수키(Kimsuky) 에서 만든 악성코드-민혜지2.jre(2024.7.24)

2024-08-07, Sakai
http://wezard4u.tistory.com/429247
#Kimsuky #JSE

Contents

오늘은 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 표적 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)에서 만든 것이며 오늘은 다루는 악성코드는 다음과 같습니다.
민혜지2(.)jre(2024.7.24) 에 대해 글을 적어보겠습니다. Java 응용 프로그램 실행기를 사용하여 악성코드를 실행하면 코드를 열어보면 난독화 돼 있는 것을 확인할 수가 있습니다.
해당 악성코드 해쉬값은 다음과 같습니다.
파일명:민혜지2.jse
사이즈:17.6 MB
MD5:6fba482cb866a3c51dc9063527886f5d
SHA-1:97d91cd399b5c4c6f2edd32e1a4211aba9b77f9d
SHA-256:06e2ab3fe5afc927642244644dfddb0f920ff1ab11c5e5631e26dbd62ed6978a
해당 악성코드는 다음과 같은 과정으로 실행됩니다.
C:\Windows\System32\WScript.exe C:\Users\Admin\AppData\Local\Temp\민혜지2(.)jse"
C:\Windows\System32\WindowsPowerShell\v1.0\powershell(.)exe
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell(.)exe -windowstyle hidden certutil -decode
C:\Windows\..\ProgramData\bgn9jPn.g6Ky C:\Windows\..\ProgramData\jB2OWAx.lEKR
C:\Windows\system32\certutil(.)exe
"C:\Windows\system32\certutil(.)exe" -decode C:\Windows\..\ProgramData\bgn9jPn.g6Ky
C:\Windows\..\ProgramData\jB2OWAx.lEKR
C:\Windows\System32\WindowsPowerShell\v1.0\powershell(.)exe -windowstyle hidden cmd /c cmd /c
C:\Windows\..\ProgramData\jB2OWAx.lEKR
C:\ProgramData\jB2OWAx.lEKR
C:\Windows\..\ProgramData\jB2OWAx.lEKR
C:\Windows\SYSTEM32\reg(.)exe
reg add hkcu\software\microsoft\windows\currentversion\run /d "\"C:\ProgramData\System32\svchost.exe\" --help" /t REG_SZ /v "System" /f
C:\ProgramData\System32\svchost.exe
"C:\ProgramData\System32\svchost.exe" --help "C:\ProgramData\jB2OWAx.lEKR
동작 설명
1. WScript.exe는 Windows Script Host의 실행 파일 VBScript 및 JScript와 같은 스크립트를 실행하는 데 사용됩니다. 위 명령어는 특정 스크립트 파일(민혜지2(.)jse)을 실행하고 있으며 해당 스크립트는 일반적으로 악성 코드를 다운로드 추가적인 악의적인 행위
2.-windowstyle hidden 옵션을 사용하여 PowerShell 창을 숨긴 상태에서 실행
certutil -decode 명령어는C:\Windows\..\ProgramData\bgn9jPn.g6Ky 파일을 디코딩하여 C:\Windows\..\ProgramData\jB2OWAx.lEKR에 저장
3.certutil(.)exe 는 인증서 및 인증 관련 작업을 수행하는 Windows의 명령줄 유틸리티 그러나 악성코드에서는 종종 파일을 디코딩하거나 인코딩하는 용도로 악용 …

IoC

06e2ab3fe5afc927642244644dfddb0f920ff1ab11c5e5631e26dbd62ed6978a
4df86f74f192202ee6ac82095804d681086c5a2009807f6f4e1def15915671c2
5440699e3ad3443e1cec835f09715c63033e5c75b7a1cfd7e351602bdfecb434
6fba482cb866a3c51dc9063527886f5d
97d91cd399b5c4c6f2edd32e1a4211aba9b77f9d
de60612226ea59961e655ad83d23fb501be0e5ea4f0ba4aab4e30495abfaf742
http://pmlroma.kro.kr/index.php