lazarusholic

Everyday is lazarus.dayβ

북한 해킹 단체 Konni(코니)에서 만든 악성코드-소명자료 목록(국세징수법 시행규칙)(2023.4.14)

2023-08-08, Sakai
https://wezard4u.tistory.com/6544
#Konni

Contents

오늘은 북한 해킹 단체 Konni(코니)에서 만든 악성코드인 소명자료 목록(국세징수법 시행규칙)에 대해 알아보겠습니다.
2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행
비트코인 이나 북한 및 러시아,여러 사회적 이슈나 특정 관심사 등을 이용해서 악성코드를 공격하고 있습니다. 일단 악성코드는 압축 파일 형태인 zip 로 되어져 있으며 해당 악성코드에서는 3개의 파일이 들어가 져 있습니다.
소명자료 목록(국세징수법 시행규칙).hwp<-바로가기 LIK 확장자로 되어져 있음
인지세 조사 보고서(인지세 사무처리규정).hwp
자금출처명세서(부가가치세법 시행규칙).hwp
여기서 소명자료 목록(국세징수법 시행규칙).hwp.lnk 파일이 악성코드이며 무슨 링크 파일이 1.06 기가인 것부터 말이 안 되는 것을 확인할 수가 있습니다. 즉 어느 링크 파일이 몇 킬로바이트이지 기 가는 될 수가 없기 때문입니다.
먼저 해쉬값은 다음과 같습니다.
파일명:소명자료 목록(국세징수법 시행규칙).hwp.lnk
사이즈:1.06 GB
CRC32:f5e338ef
MD5:b132c1ff68e000a70b3c085cfdd72feb
SHA-1:60b06121a2952b2cd37c07cbe831e1dfa61b0a2e
SHA-256:b79a681f10ff05f376080f74417cdc8760ed8f5e844e8990d693496e6ee153df
그리고 Cerbero Suite Advanced로 열어보면 16진수로 해당 악성코드가 실행 코드가 감추어져 잇는 것을 확인할 수가 있고 이걸 확인하기 위해서 CyberChef를 이용을 해서 풀어 봅니다.
일단 먼저 해당 악성코드 …

IoC

4F555644454E66203D204765742D4C6F
60b06121a2952b2cd37c07cbe831e1dfa61b0a2e
7042796E57456F293B246E444143526443584A6A
746172742E766273273B2620246C4A636479764A
75726E20244A6F696578706E6745647D3B246665
b132c1ff68e000a70b3c085cfdd72feb
b79a681f10ff05f376080f74417cdc8760ed8f5e844e8990d693496e6ee153df
http://centhosting.net
http://centhosting.net/upload.php