북한 해킹 단체 Konni(코니) 암호화폐 거래소 빗썸(Bithumb) 정보 업데이트 요청으르로 위장한 악성코드-금융당국 요청에 따른 프로젝트 정보 확인 요청의 건.zip(2024.7.23)
Contents
오늘은 북한 해킹 단체 Konni(코니) 암호화폐 거래소 빗썸(Bithumb) 정보 업데이트 요청으로 위장한 악성코드- 금융당국 요청에 따른 프로젝트 정보 확인 요청의 건.zip (2024.7.23)에 분석을 진행을 해보겠습니다.
코니 는 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT 37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 그룹은 북한에 본부를 두는 것으로 추정되며 한국과 미국의 정부 기관 및 조직을 표적으로 삼는 것으로 알려졌으며 북한 해커 그룹은 피싱 메시지나 이메일을 통해 Konni RAT를 배포하며 공격자는 Konni RAT를 사용하여 피해자로부터 정보를 수집하고, 스크린 샷을 캡처하고, 파일을 훔치고,
원격 대화형 셸을 구축합니다. KONNI는 러시아, 동아시아, 유럽, 중동의 정치 집단을 표적으로 한 다양한 북한 공격 혐의와 연관되어 있으며 이번에는 암호화폐 거래소 빗썸(Bithumb)에서 보낸 것처럼 해서 가상화폐(암호화폐)를 탈취하기 위한 작업으로 추측됩니다.
금융당국 요청에 따른 프로젝트 정보 확인 요청의 건.zip
으로 돼 있으며 해쉬값은 다음과 같습니다.
파일명:금융당국 요청에 따른 프로젝트 정보 확인 요청의 건.zip
사이즈:497 KB
MD5:6155d592e9083937ae5dadb304a69053
SHA-1:0e491c00e5c4be460cb4632d96e4963e16c487a2
SHA-256:65bc642b1c454d314ad71c5f4a2348f9fbb5d290f6a21f6a5028d852427f5b1a
그리고 압축을 풀며
#1. 프로젝트 정보 업데이트 요청사항.xlsx 이라고 된 316MB짜리 …
코니 는 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT 37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 그룹은 북한에 본부를 두는 것으로 추정되며 한국과 미국의 정부 기관 및 조직을 표적으로 삼는 것으로 알려졌으며 북한 해커 그룹은 피싱 메시지나 이메일을 통해 Konni RAT를 배포하며 공격자는 Konni RAT를 사용하여 피해자로부터 정보를 수집하고, 스크린 샷을 캡처하고, 파일을 훔치고,
원격 대화형 셸을 구축합니다. KONNI는 러시아, 동아시아, 유럽, 중동의 정치 집단을 표적으로 한 다양한 북한 공격 혐의와 연관되어 있으며 이번에는 암호화폐 거래소 빗썸(Bithumb)에서 보낸 것처럼 해서 가상화폐(암호화폐)를 탈취하기 위한 작업으로 추측됩니다.
금융당국 요청에 따른 프로젝트 정보 확인 요청의 건.zip
으로 돼 있으며 해쉬값은 다음과 같습니다.
파일명:금융당국 요청에 따른 프로젝트 정보 확인 요청의 건.zip
사이즈:497 KB
MD5:6155d592e9083937ae5dadb304a69053
SHA-1:0e491c00e5c4be460cb4632d96e4963e16c487a2
SHA-256:65bc642b1c454d314ad71c5f4a2348f9fbb5d290f6a21f6a5028d852427f5b1a
그리고 압축을 풀며
#1. 프로젝트 정보 업데이트 요청사항.xlsx 이라고 된 316MB짜리 …
IoC
0e491c00e5c4be460cb4632d96e4963e16c487a2
35.245.79.218
3a2d628db6cd2a526ee908d3a4763b167f517ba18c9af86846e016b8d9221397
6155d592e9083937ae5dadb304a69053
65bc642b1c454d314ad71c5f4a2348f9fbb5d290f6a21f6a5028d852427f5b1a
d3c78ad4977d486defeb72f888e3f0c4231ef5d8
e3eeeebb117b7c3128d87b6e027bd85d
http://176.97.064.174:80
http://35.245.79.218:443
http://shutss.com/upload.php
35.245.79.218
3a2d628db6cd2a526ee908d3a4763b167f517ba18c9af86846e016b8d9221397
6155d592e9083937ae5dadb304a69053
65bc642b1c454d314ad71c5f4a2348f9fbb5d290f6a21f6a5028d852427f5b1a
d3c78ad4977d486defeb72f888e3f0c4231ef5d8
e3eeeebb117b7c3128d87b6e027bd85d
http://176.97.064.174:80
http://35.245.79.218:443
http://shutss.com/upload.php