lazarusholic

2023-07-31, Ahnlab
https://asec.ahnlab.com/ko/55646/
#Kimsuky #Cryptocurrency

AhnLab Security Emergency response Center(ASEC)은 최근 코인 거래소 및 투자 관련 내용으로 위장한 악성코드가 유포되고 있는 것을 확인하였다. 악성코드는 실행 파일 및 워드 문서 형식으로 유포되고 있으며, 악성코드에서 사용하는 User-Agent 명으로 보아 Kimsuky 그룹에서 제작한 것으로 추정된다. 확인된 파일명은 다음과 같다.
|날짜||파일명|
|07.17||20230717_030190045911.pdf .exe|
|07.28||0728-위**월렛 자금 자동 인출.docx.exe (추정)|
|07.28||230728 위**팀 – 월렛해킹 공통점.docx.exe (추정)|
|07.28||위**팀-클라우드사용금지.doc|
실행 파일
[표 1]에서 확인된 실행 파일은 워드 문서 및 PDF 아이콘으로 위장하여 정상 문서처럼 보이도록 하였다.
위 악성 실행 파일은 SFX (Self-extracting archive)형식으로 내부에 정상 문서 파일을 포함하고 있다. 따라서 파일 실행 시 아래의 정상 문서 파일이 생성된다.
각 문서 파일은 자산 관리 및 코인 거래소를 사칭한 내용을 포함하고 있다. 문서 내용은 다음과 같다.
각 실행 파일의 archive content에는 [그림 2]에서 확인된 정상 문서와 더불어 특정 URL에 접속하는 명령어가 확인된다.
따라서 파일 실행 시 정상 문서를 생성하고 mshta.exe를 활용해 악성 URL에 존재하는 스크립트 코드를 실행한다. 분석 당시 위 URL에 접속이 불가하여 정확한 행위는 확인이 불가하다. 확인된 악성 URL은 다음과 같다.
- hxxps://partner24[.]kr/mokozy/hope/biz.php
- hxxps://partner24[.]kr/mokozy/hope/doc1.php
- hxxps://partner24[.]kr/mokozy/hope/doc2.php
문서 파일
공격자는 …

002105e21f1bddf68e59743c440e416a
17daf3ea7b80ee95792d4b3332a3390d
8a5fd1e9c9841ff0253b2a6f1e533d0e
b6614471ebf288689d33808c376540e1
https://partner24.kr/mokozy/hope/biz.php
https://partner24.kr/mokozy/hope/doc1.php
https://partner24.kr/mokozy/hope/doc2.php
https://partner24.kr/mokozy/hope/kk.php