lazarusholic

2024-01-04, Sakai
https://wezard4u.tistory.com/6699
#Konni

오늘은 북한 해킹 단체 Konni(코니) 에서 만든 악성코드인 주요도시 시장가격 조사 2023.xlsx.bin(2023.12.29)에 대해 글을 적어 보겠습니다. 해당 악성코드는
파일명:주요도시 시장가격 조사 2023.xlsx
사이즈:35.4 KB
MD5:28d25a4021536394fd890c4b6d9b5551
SHA-1:39c97ca820f31e7903ccb190fee02035ffdb37b9
SHA-256: 44365e0bcd77f1721d061dc03dd3c1728ad36671ad294ec7b2cf088b1bbefd23
2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT 37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행합니다.
예전에는 이태원 참사를 악용한 CVE-2022-41128 공격을 사용하고 있습니다.
일단 해당 엑셀 파일을 열어 보면 다음과 같이 북한 주요 도시 시장가격 조사라고 돼 있는 파일이 열리고 해당 파일을 실행하면 ActiveX 컨트롤 콘텐츠 사용 경고창이 표시되어서 보안 경고 ActiveX 컨트롤 콘텐츠 사용을 할 수 없도록 설정했습니다. 콘텐츠 사용이라는 것을 눌러주면 C2 도메인에 접속하게 돼 있으며
주요도시 시장가격 조사 2023\xl\activeX1.bin 에 보면 정확하게 ActiveX 컨트롤 콘텐츠 에 C2 도메인에 포함된 것을 Cerbero Suite Advanced,HxD 프로그램으로 보면 확인을 할 수가 있습니다.
이번에는 Power Shell 스크립트가 아닌 ActiveX 컨트롤를 사용을 하는 것이 눈에 띄면
2023-12-29 04:24:29 UTC 기준 바이러스토탈에서 …

28d25a4021536394fd890c4b6d9b5551
39c97ca820f31e7903ccb190fee02035ffdb37b9
44365e0bcd77f1721d061dc03dd3c1728ad36671ad294ec7b2cf088b1bbefd23