Konni(코니) 에서 만든 특허 수수료 납부 확인증 위장한 악성코드-PaymentConfirmation.chm(2023.12.29)
Contents
오늘은 북한 해킹 단체 Konni(코니) 에서 특허 수수료 납부 확인증 위장한 악성코드-PaymentConfirmation.chm(2023.12.29)에 대해 글을 적어 보겠습니다.
2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행합니다.
보통은 한글과 컴퓨터에서 만들어서 배포하는 포멧인 hwp에서는 악성코드가 없겠지 생각을 하지만 해당 포멧을 자주 이용하고 있으며 먼저 압축 파일 해쉬값은 다음과 같습니다.
파일명:PaymentConfirmation.chm
사이즈:158 KB
MD5:2548d0e05c47c506cf9fd668dace5497
SHA-1:8ac21a35158ba9ebf80493bdb8cf8eb81386a02b
SHA-256:fd47c8418d9f8ed39f2f746042c982ac53a788cace370ae8906aecc8c228deeb
해당 악성코드는 chm 즉 윈도우 도움말 형식으로 돼 있으면 사견으로는 아마도 무작위로 메일을 보내고 여기서 특허 관련 있는 분들을 노리는 것 같습니다. 즉 그냥 한국 국민을 공격하는 것 같습니다.
chm 파일 내용은 특허수수료 납부확인증
청구기관: 특허청 운영지원과 징수관
전자납부번호 납부자번호):0???????????
납기내기한
납기내금액:112,200 원
납기후기한:2023.10.12~2023.10.12
납기후금액:112,200 원
납부금액:112,200 원
납부자:???
주민(사업자 법인)번호:6???? ?*******
사건의 표시:1?-2023-?????
서류명 【특허줄원]특허줄원서
납부계좌
위 금액을 정히 영수합니다. 특허청 운영지원과 징수관
2023.10.11 JI 금융결제원
금융결제원(인터넷지로)은 수납 납부대행기관으로 본 납부확인증은 참고용 입니다.
납부영수증 등 증빙자료는 해당 기관에 요청하시어 발급받으시기 바랍니다.
해당 악성코드는 emlmanager.vbs 에 있으며 Cerbero Suite Advanced로 열어 보면 emlmanager.vbs 에 …
2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행합니다.
보통은 한글과 컴퓨터에서 만들어서 배포하는 포멧인 hwp에서는 악성코드가 없겠지 생각을 하지만 해당 포멧을 자주 이용하고 있으며 먼저 압축 파일 해쉬값은 다음과 같습니다.
파일명:PaymentConfirmation.chm
사이즈:158 KB
MD5:2548d0e05c47c506cf9fd668dace5497
SHA-1:8ac21a35158ba9ebf80493bdb8cf8eb81386a02b
SHA-256:fd47c8418d9f8ed39f2f746042c982ac53a788cace370ae8906aecc8c228deeb
해당 악성코드는 chm 즉 윈도우 도움말 형식으로 돼 있으면 사견으로는 아마도 무작위로 메일을 보내고 여기서 특허 관련 있는 분들을 노리는 것 같습니다. 즉 그냥 한국 국민을 공격하는 것 같습니다.
chm 파일 내용은 특허수수료 납부확인증
청구기관: 특허청 운영지원과 징수관
전자납부번호 납부자번호):0???????????
납기내기한
납기내금액:112,200 원
납기후기한:2023.10.12~2023.10.12
납기후금액:112,200 원
납부금액:112,200 원
납부자:???
주민(사업자 법인)번호:6???? ?*******
사건의 표시:1?-2023-?????
서류명 【특허줄원]특허줄원서
납부계좌
위 금액을 정히 영수합니다. 특허청 운영지원과 징수관
2023.10.11 JI 금융결제원
금융결제원(인터넷지로)은 수납 납부대행기관으로 본 납부확인증은 참고용 입니다.
납부영수증 등 증빙자료는 해당 기관에 요청하시어 발급받으시기 바랍니다.
해당 악성코드는 emlmanager.vbs 에 있으며 Cerbero Suite Advanced로 열어 보면 emlmanager.vbs 에 …
IoC
2548d0e05c47c506cf9fd668dace5497
8ac21a35158ba9ebf80493bdb8cf8eb81386a02b
fd47c8418d9f8ed39f2f746042c982ac53a788cace370ae8906aecc8c228deeb
https://niscarea.com/
https://niscarea.com/cgi-sys/suspendedpage.cgi
8ac21a35158ba9ebf80493bdb8cf8eb81386a02b
fd47c8418d9f8ed39f2f746042c982ac53a788cace370ae8906aecc8c228deeb
https://niscarea.com/
https://niscarea.com/cgi-sys/suspendedpage.cgi