Threat Tracking: Analysis of puNK-003’s Lilith RAT ported to AutoIt Script
Contents
Threat Tracking: Analysis of puNK-003’s Lilith RAT ported to AutoIt Script
Author: Jiho Kim | S2W TALON
Last Modified : Aug 22, 2024
Executive Summary
2024년 4월 24일, S2W의 위협 연구 및 인텔리전스 센터 TALON은 탈세 제보와 관련된 소명 자료 목록으로 위장한 LNK 악성코드를 발견하여 분석을 진행하였다. 발견된 LNK 파일은 실행 시 파일 내부에 포함된 Decoy 문서를 드랍 및 출력하고, 하드코딩된 공격자 서버로부터 추가 파일을 다운로드 받아 실행한다. 다운로드된 파일은 악성 AutoIt 스크립트 파일과 이를 실행하기 위한 정상 AutoIt3 실행 파일로, 최종적으로는 AutoIt 스크립트로 재구현된 Lilith RAT 악성코드가 실행된다.
이번에 발견된 LNK 악성코드는 실행 인자에 포함된 PowerShell 명령어의 구성과 추가로 다운로드된 파일이 모두 AutoIt 스크립트로 재구현된 악성코드라는 점에서 북한 배후의 공격 그룹인 KONNI 그룹의 특징을 보인다. 그러나 이번에 발견된 악성코드와 KONNI 그룹의 LNK 악성코드는 실행 목적에서 차이점이 존재하며, 전자는 Downloader의 역할을, 후자는 Dropper 기능을 수행한다. 또한, 이번 공격 캠페인에서는 KONNI 그룹이 주로 사용하는 VBS 및 BAT 스크립트 유형의 악성코드가 사용되지 않았다는 점 역시 가장 큰 …
Author: Jiho Kim | S2W TALON
Last Modified : Aug 22, 2024
Executive Summary
2024년 4월 24일, S2W의 위협 연구 및 인텔리전스 센터 TALON은 탈세 제보와 관련된 소명 자료 목록으로 위장한 LNK 악성코드를 발견하여 분석을 진행하였다. 발견된 LNK 파일은 실행 시 파일 내부에 포함된 Decoy 문서를 드랍 및 출력하고, 하드코딩된 공격자 서버로부터 추가 파일을 다운로드 받아 실행한다. 다운로드된 파일은 악성 AutoIt 스크립트 파일과 이를 실행하기 위한 정상 AutoIt3 실행 파일로, 최종적으로는 AutoIt 스크립트로 재구현된 Lilith RAT 악성코드가 실행된다.
이번에 발견된 LNK 악성코드는 실행 인자에 포함된 PowerShell 명령어의 구성과 추가로 다운로드된 파일이 모두 AutoIt 스크립트로 재구현된 악성코드라는 점에서 북한 배후의 공격 그룹인 KONNI 그룹의 특징을 보인다. 그러나 이번에 발견된 악성코드와 KONNI 그룹의 LNK 악성코드는 실행 목적에서 차이점이 존재하며, 전자는 Downloader의 역할을, 후자는 Dropper 기능을 수행한다. 또한, 이번 공격 캠페인에서는 KONNI 그룹이 주로 사용하는 VBS 및 BAT 스크립트 유형의 악성코드가 사용되지 않았다는 점 역시 가장 큰 …
IoC
0329bb5b3a450b0a8f148a57e045bf6ed40eb49a62e026bd71b021a2efc40aed
185.231.154.22
19dc387bffdc0a22f640bd38af320db4
2189aa5be8a01bc29a314c3c3803c2b8131f49a84527c6b0a710b50df661575e
3.3.14.5
3334d2605c0df26536058f73a43cb074
3c81dc763a4f003ba6e33cd5b63068cd
4f865db4192afb5bbcdeb2e899ca97a4
5613ba2032bc1528991b583e17bad59a
5bcfb56c4c884e3657bbfeacca37853113d640b77dff9af519c08c4b64ca029d
5ea09247ad85915a8d1066d1825061cc8348e14c4e060e1eba840d5e56ab3e4d
62.113.118.157
6d6433c328f6cdce4a80efce3a29ea3e
6f5e4b45ca0d8c1128d27a15421eea38
778e46f8f3641a92d34da68dffc168fdc936841c5ad3d8b44da62a7b2dfe2ee1
77d05cc623f860ca2e6d47cdafc517aa0612de88291de7f2a3d95c5d04f1658a
7bb236041b91d4cd4fa129267cf109c3
7c08b9178c05ab765a3d7754ac99f4ba1abddb226dbb6cc898bc692bba1898a1
808425bc599cd60989c90978d179af1d4c72dd7abfe5e0518aca44b48af15725
93.183.93.185
9d6c79c0b395cceb83662aa3f7ed0123
9e1a3653029b5378736ea1debba44cd81988de73b6d8689f9eba792e719da79a
a0483db3725f8a50078daee7fd10f9bb
ba59f1ece68fa051400fd46467b0dc0a5294b8644c107646e75d225a45fff015
c2cc785857c64fa1f8fbb2e359a2638f187cd77cd29ca6701e38d750e822faa4
c56b5f0201a3b3de53e561fe76912bfd
d357fc478765a22f403c699a812f29bd
d5809e5f848f228634aa45ffe4a5ece0
e63082cf4db94f06d583a6313e48353366b44ce07b7ffceacc5bc4db88bd8810
http://185.231.154.22:52720
http://62.113.118.157:57860
http://93.183.93.185
http://93.183.93.185:57860
http://mq734121.info/index.php
http://oryzanine.com/index.php
http://serviceset.net/upload.php
http://sibbss.com/upload.php
http://storkse.com/upload.php
http://ttzcloud.com/upload.php
https://bgfile.com/v2/read/get.php?vw=ln3&nv=xu6502
https://downwarding.com/v2/read/get.php?vw=ln3&nv=xu6502
https://file.drive002.com/read/get.php?cu=ln3&so=xu6502
https://jethropc.com/wp-admin/css/temp/hurry/?rv=papago^&za=honey0
https://jethropc.com/wp-admin/css/temp/hurry/?rv=papago^&za=honey1
https://phasechangesolutions.com/wp-admin/css/colors/coffee/hurryup/?rv=super^&za=mongo0
https://phasechangesolutions.com/wp-admin/css/colors/coffee/hurryup/?rv=super^&za=mongo1
https://radionaranjalstereo.com/wp-content/themes/ai-news/js/inc/get.php?ra=iew&zw=lk0100
https://werxtracts.com/wp-content/themes/stylish-fashion-shop/js/inc/get.php?ra=iew&zw=lk0100
https://www.cammirando.com/wp-admin/css/temp/movement/?ra=aaaaaa^&zw=default0
https://www.cammirando.com/wp-admin/css/temp/movement/?ra=aaaaaa^&zw=default1
185.231.154.22
19dc387bffdc0a22f640bd38af320db4
2189aa5be8a01bc29a314c3c3803c2b8131f49a84527c6b0a710b50df661575e
3.3.14.5
3334d2605c0df26536058f73a43cb074
3c81dc763a4f003ba6e33cd5b63068cd
4f865db4192afb5bbcdeb2e899ca97a4
5613ba2032bc1528991b583e17bad59a
5bcfb56c4c884e3657bbfeacca37853113d640b77dff9af519c08c4b64ca029d
5ea09247ad85915a8d1066d1825061cc8348e14c4e060e1eba840d5e56ab3e4d
62.113.118.157
6d6433c328f6cdce4a80efce3a29ea3e
6f5e4b45ca0d8c1128d27a15421eea38
778e46f8f3641a92d34da68dffc168fdc936841c5ad3d8b44da62a7b2dfe2ee1
77d05cc623f860ca2e6d47cdafc517aa0612de88291de7f2a3d95c5d04f1658a
7bb236041b91d4cd4fa129267cf109c3
7c08b9178c05ab765a3d7754ac99f4ba1abddb226dbb6cc898bc692bba1898a1
808425bc599cd60989c90978d179af1d4c72dd7abfe5e0518aca44b48af15725
93.183.93.185
9d6c79c0b395cceb83662aa3f7ed0123
9e1a3653029b5378736ea1debba44cd81988de73b6d8689f9eba792e719da79a
a0483db3725f8a50078daee7fd10f9bb
ba59f1ece68fa051400fd46467b0dc0a5294b8644c107646e75d225a45fff015
c2cc785857c64fa1f8fbb2e359a2638f187cd77cd29ca6701e38d750e822faa4
c56b5f0201a3b3de53e561fe76912bfd
d357fc478765a22f403c699a812f29bd
d5809e5f848f228634aa45ffe4a5ece0
e63082cf4db94f06d583a6313e48353366b44ce07b7ffceacc5bc4db88bd8810
http://185.231.154.22:52720
http://62.113.118.157:57860
http://93.183.93.185
http://93.183.93.185:57860
http://mq734121.info/index.php
http://oryzanine.com/index.php
http://serviceset.net/upload.php
http://sibbss.com/upload.php
http://storkse.com/upload.php
http://ttzcloud.com/upload.php
https://bgfile.com/v2/read/get.php?vw=ln3&nv=xu6502
https://downwarding.com/v2/read/get.php?vw=ln3&nv=xu6502
https://file.drive002.com/read/get.php?cu=ln3&so=xu6502
https://jethropc.com/wp-admin/css/temp/hurry/?rv=papago^&za=honey0
https://jethropc.com/wp-admin/css/temp/hurry/?rv=papago^&za=honey1
https://phasechangesolutions.com/wp-admin/css/colors/coffee/hurryup/?rv=super^&za=mongo0
https://phasechangesolutions.com/wp-admin/css/colors/coffee/hurryup/?rv=super^&za=mongo1
https://radionaranjalstereo.com/wp-content/themes/ai-news/js/inc/get.php?ra=iew&zw=lk0100
https://werxtracts.com/wp-content/themes/stylish-fashion-shop/js/inc/get.php?ra=iew&zw=lk0100
https://www.cammirando.com/wp-admin/css/temp/movement/?ra=aaaaaa^&zw=default0
https://www.cammirando.com/wp-admin/css/temp/movement/?ra=aaaaaa^&zw=default1