Konni(코니) 에서 만든 국세청 사칭 악성코드-국세청 종합소득세 해명자료 제출 안내(2023.9.4)
Contents
오늘은 북한 해킹 단체 Konni(코니) 에서 국세청 사칭 악성코드인 국세청 종합소득세 해명자료 제출 안내(2023.9.4) 에 대해 글을 적어 보겠습니다.
2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행합니다.
보통은 한글과 컴퓨터에서 만들어서 배포하는 포멧인 hwp 에서는 악성코드가 없겠지 생각을 하지만 해당 포멧을 자주 이용하고 있으며 먼저 압축 파일 해쉬값은 다음과 같습니다.
파일명: 국세청 종합소득세 해명자료 제출 안내·zip
사이즈:377 KB
CRC32: 874a31f4
MD5:ddd07976e889bfc58e2925cd22e5198a
SHA-1:cabb494d8a2a36a3f653aa7900a14a921dccf05e
SHA-256:d245f208d2a682f4d2c4464557973bf26dee756b251f162adb00b4074b4db3ac
그리고 해당 압축코드로 된 파일을 풀어보면 다음과 같이 각각 3개의 파일이 존재하는 것을 확인할 수가 있습니다.
국세청 종합소득세 해명자료 제출 안내.hwp(MD5:6f5e4b45ca0d8c1128d27a15421eea38)
국채 및 통화안정증권 거래ㆍ보유 명세서(소득세법 시행규칙).hwp(MD5:6e61cab3675ba0250d0d15fd7c010000)
근로소득지급명세서(개정안_230228).hwp(MD5:b90b0888214d2def5ab148b8d8055187)
입니다.
여기서 국세청 종합소득세 해명자료 제출 안내.hwp 를 보면 아이콘이 단축 주소로 돼 있는 것을 확인할 수가 있으며 해당 부분이 악성코드입니다.
파웨셀(PowerShell)로 명령어가 돼 있으며 해당 부분에선 HEX로 돼 있고 이걸 GCHQ 에서 만든 CyberChef(사이버 셰프)를 이용을 해서 요리를 해주면 다음과 같은 코드들이 들어가 …
2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행합니다.
보통은 한글과 컴퓨터에서 만들어서 배포하는 포멧인 hwp 에서는 악성코드가 없겠지 생각을 하지만 해당 포멧을 자주 이용하고 있으며 먼저 압축 파일 해쉬값은 다음과 같습니다.
파일명: 국세청 종합소득세 해명자료 제출 안내·zip
사이즈:377 KB
CRC32: 874a31f4
MD5:ddd07976e889bfc58e2925cd22e5198a
SHA-1:cabb494d8a2a36a3f653aa7900a14a921dccf05e
SHA-256:d245f208d2a682f4d2c4464557973bf26dee756b251f162adb00b4074b4db3ac
그리고 해당 압축코드로 된 파일을 풀어보면 다음과 같이 각각 3개의 파일이 존재하는 것을 확인할 수가 있습니다.
국세청 종합소득세 해명자료 제출 안내.hwp(MD5:6f5e4b45ca0d8c1128d27a15421eea38)
국채 및 통화안정증권 거래ㆍ보유 명세서(소득세법 시행규칙).hwp(MD5:6e61cab3675ba0250d0d15fd7c010000)
근로소득지급명세서(개정안_230228).hwp(MD5:b90b0888214d2def5ab148b8d8055187)
입니다.
여기서 국세청 종합소득세 해명자료 제출 안내.hwp 를 보면 아이콘이 단축 주소로 돼 있는 것을 확인할 수가 있으며 해당 부분이 악성코드입니다.
파웨셀(PowerShell)로 명령어가 돼 있으며 해당 부분에선 HEX로 돼 있고 이걸 GCHQ 에서 만든 CyberChef(사이버 셰프)를 이용을 해서 요리를 해주면 다음과 같은 코드들이 들어가 …
IoC
6e61cab3675ba0250d0d15fd7c010000
6f5e4b45ca0d8c1128d27a15421eea38
7f7fa98fee3cfd5b927a678e43574f4b
b90b0888214d2def5ab148b8d8055187
cabb494d8a2a36a3f653aa7900a14a921dccf05e
d245f208d2a682f4d2c4464557973bf26dee756b251f162adb00b4074b4db3ac
ddd07976e889bfc58e2925cd22e5198a
http://ttzcloud.com/upload.php
6f5e4b45ca0d8c1128d27a15421eea38
7f7fa98fee3cfd5b927a678e43574f4b
b90b0888214d2def5ab148b8d8055187
cabb494d8a2a36a3f653aa7900a14a921dccf05e
d245f208d2a682f4d2c4464557973bf26dee756b251f162adb00b4074b4db3ac
ddd07976e889bfc58e2925cd22e5198a
http://ttzcloud.com/upload.php