한글 문서로 위장한 두 공격 그룹의 악성코드 비교
Contents
개요
로그프레소는 최근 한글 문서 파일로 위장한 악성코드를 수집했습니다. 해당 파일의 제목은 ‘북한 공작에 물든 대한민국.hwp’ (이하 ‘사례 1’), ‘가상자산사업자 검사계획민당정회의 발표자료_FN2.hwp.lnk’ (이하 ‘사례 2’)와 같이 한글로 작성되었습니다.
두 사례 모두 최근 우리나라에서 사회적으로 이슈가 되고 있는 주제를 제목에 작성했다는 공통점을 가지고 있었으나, 공격자 분석 결과 아래 표와 같이 동일 조직이 아닌 서로 다른 두 개의 공격 조직이 관여한 것으로 보입니다.
| 구분 | 사례 1 (APT37) | 사례 2 (Konni) |
|---|---|---|
| 공격자 | APT37 | Konni |
| 확장자 | HWP | LNK |
| 파일 구성 | OLE 개체 | Powershell |
| 내장 데이터 | 암호화된 쉘 코드 | 악성 스크립트 |
| C2 전송 방식 | Yandex cloud 접근 | 사전 정의된 C2 주소 접근 |
| 문서 작성자 | 82109 | 국토해양부 |
| 마지막 편집자 | Kennedy | admin |
| 컨텐트 타입 특정 문자열 | --wwjaughalvncjwiajs-- | N/A |
| 복호화 연산에 사용된 키 | 0x7A, 0x29 | 0x2B, 0x72 |
| 압축 해제 비밀번호 …
로그프레소는 최근 한글 문서 파일로 위장한 악성코드를 수집했습니다. 해당 파일의 제목은 ‘북한 공작에 물든 대한민국.hwp’ (이하 ‘사례 1’), ‘가상자산사업자 검사계획민당정회의 발표자료_FN2.hwp.lnk’ (이하 ‘사례 2’)와 같이 한글로 작성되었습니다.
두 사례 모두 최근 우리나라에서 사회적으로 이슈가 되고 있는 주제를 제목에 작성했다는 공통점을 가지고 있었으나, 공격자 분석 결과 아래 표와 같이 동일 조직이 아닌 서로 다른 두 개의 공격 조직이 관여한 것으로 보입니다.
| 구분 | 사례 1 (APT37) | 사례 2 (Konni) |
|---|---|---|
| 공격자 | APT37 | Konni |
| 확장자 | HWP | LNK |
| 파일 구성 | OLE 개체 | Powershell |
| 내장 데이터 | 암호화된 쉘 코드 | 악성 스크립트 |
| C2 전송 방식 | Yandex cloud 접근 | 사전 정의된 C2 주소 접근 |
| 문서 작성자 | 82109 | 국토해양부 |
| 마지막 편집자 | Kennedy | admin |
| 컨텐트 타입 특정 문자열 | --wwjaughalvncjwiajs-- | N/A |
| 복호화 연산에 사용된 키 | 0x7A, 0x29 | 0x2B, 0x72 |
| 압축 해제 비밀번호 …
IoC
https://content.dropboxapi.com/2/files/upload
https://api.pcloud.com/uploadfile?path=%s&filename=%s&nopartial=1
http://www.google.com/bot.html
http://forum.flasholr-app.com/wp-admin/src/upload.php
https://cloud-api.yandex.net/v1/disk/resources/upload?path=%s&overwrite=%s
http://forum.flasholr-app.com/wp-admin/src/list.php?f=%COMPUTERNAME%.txt
https://teamfuels.com/modules/inc/get.php?ra=iew&zw=lk0100
https://content.dropboxapi.com/2/files/download
https://api.pcloud.com/getfilelink?path=%s&forcedownload=1&skipfilename=1
https://cloud-api.yandex.net/v1/disk/resources/download?path=%s
http://forum.flasholr-app.com/wp-admin/src/list.php
e37c8f6aba686aab3d7ecedbd1d0ef43
4a89126a7e3190866b3eebeb8b8ee9b7
a68acc516eca9b2be1b89addd4f3f723
b927851f70d91fd4a1398161fd0a7b78
a7557684eb1ab6044fccf69b442a559f
12ac9f346e9ac80c7596bccbf8cd9f9c
34ca15b188ccfc83c54658f06acc548b
82d85f391c8a1aaa0a2b9500993156c5
f789c4e68c549d97fe40179b1777a39b
835a74b3c33a66678c66118dbe26dccf
81051bcc2cf1bedf378224b0a93e2877
5b819ad2bcd8ad68af558e970d1d325e
8b3f90264310fb44b2fb584392a53b8d
1b6eb87d8d52f699c89c2f6e7451bf28
3eac72d8dfab856788becf2cafc65328
fa79b143af6bfc64e52e667cd8a2eb66
18db9e11bd0829642df9f6774339fc85
https://api.pcloud.com/uploadfile?path=%s&filename=%s&nopartial=1
http://www.google.com/bot.html
http://forum.flasholr-app.com/wp-admin/src/upload.php
https://cloud-api.yandex.net/v1/disk/resources/upload?path=%s&overwrite=%s
http://forum.flasholr-app.com/wp-admin/src/list.php?f=%COMPUTERNAME%.txt
https://teamfuels.com/modules/inc/get.php?ra=iew&zw=lk0100
https://content.dropboxapi.com/2/files/download
https://api.pcloud.com/getfilelink?path=%s&forcedownload=1&skipfilename=1
https://cloud-api.yandex.net/v1/disk/resources/download?path=%s
http://forum.flasholr-app.com/wp-admin/src/list.php
e37c8f6aba686aab3d7ecedbd1d0ef43
4a89126a7e3190866b3eebeb8b8ee9b7
a68acc516eca9b2be1b89addd4f3f723
b927851f70d91fd4a1398161fd0a7b78
a7557684eb1ab6044fccf69b442a559f
12ac9f346e9ac80c7596bccbf8cd9f9c
34ca15b188ccfc83c54658f06acc548b
82d85f391c8a1aaa0a2b9500993156c5
f789c4e68c549d97fe40179b1777a39b
835a74b3c33a66678c66118dbe26dccf
81051bcc2cf1bedf378224b0a93e2877
5b819ad2bcd8ad68af558e970d1d325e
8b3f90264310fb44b2fb584392a53b8d
1b6eb87d8d52f699c89c2f6e7451bf28
3eac72d8dfab856788becf2cafc65328
fa79b143af6bfc64e52e667cd8a2eb66
18db9e11bd0829642df9f6774339fc85