xxx 토큰 유통량 및 락업 스케줄 로 위장한 Konni(코니) 에서 만든 악성코드-xxx 토큰 유통량 및 락업 스케줄(2024.5.13)
Contents
오늘은 북한의 해킹 그룹인 Konni(코니)에서 만든 악성코드인 xx 토큰 유통량 및 락업 스케줄(2024.5.13)에 대해 글을 적어 보겠습니다.
2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행합니다.
일단 xxx 토큰에 대해 검색을 해보니 블랙웨일은 디파이 ETF 프로젝트 비트코인 형물 ETF 이라고 하는데 개인적으로 가상화폐(암호화폐)에 대해 그다지 지식이 없는 관계로 통과 하고 글을 적어보겠습니다.
악성코드 해쉬값
파일명:xxx 토큰 유통량 및 락업 스케줄.lnk
사이즈:369 MB
MD5:a0483db3725f8a50078daee7fd10f9bb
SHA-1:2bd0260ae7b0a9e6131063243209d9c6348aaa3e
SHA-256:77d05cc623f860ca2e6d47cdafc517aa0612de88291de7f2a3d95c5d04f1658a
이며 lnk 형식인데 보면 파일 크기가 369 MB 인 것을 확인을 할 수가 있으며 뭐~파일 크기가 큰 이유는 더미 파일로 채워 놓아서 다음과 같은 작업을 하려고 일 것입니다.
1. 탐지 우회:
안티바이러스(백신프로그램) 및 보안 소프트웨어 탐지 우회: 악성코드는 더미 파일을 사용하여 안티바이러스 및 보안 소프트웨어의 스캔을 피할 수 있습니다.
더미 파일은 악성코드가 아닌 정상적인 파일처럼 보이도록 설계되어 악성코드를 감지하는 데 사용되는 패턴이나 서명과 일치하지 않도록 작동
2. 파일 크기 …
2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행합니다.
일단 xxx 토큰에 대해 검색을 해보니 블랙웨일은 디파이 ETF 프로젝트 비트코인 형물 ETF 이라고 하는데 개인적으로 가상화폐(암호화폐)에 대해 그다지 지식이 없는 관계로 통과 하고 글을 적어보겠습니다.
악성코드 해쉬값
파일명:xxx 토큰 유통량 및 락업 스케줄.lnk
사이즈:369 MB
MD5:a0483db3725f8a50078daee7fd10f9bb
SHA-1:2bd0260ae7b0a9e6131063243209d9c6348aaa3e
SHA-256:77d05cc623f860ca2e6d47cdafc517aa0612de88291de7f2a3d95c5d04f1658a
이며 lnk 형식인데 보면 파일 크기가 369 MB 인 것을 확인을 할 수가 있으며 뭐~파일 크기가 큰 이유는 더미 파일로 채워 놓아서 다음과 같은 작업을 하려고 일 것입니다.
1. 탐지 우회:
안티바이러스(백신프로그램) 및 보안 소프트웨어 탐지 우회: 악성코드는 더미 파일을 사용하여 안티바이러스 및 보안 소프트웨어의 스캔을 피할 수 있습니다.
더미 파일은 악성코드가 아닌 정상적인 파일처럼 보이도록 설계되어 악성코드를 감지하는 데 사용되는 패턴이나 서명과 일치하지 않도록 작동
2. 파일 크기 …
IoC
2bd0260ae7b0a9e6131063243209d9c6348aaa3e
77d05cc623f860ca2e6d47cdafc517aa0612de88291de7f2a3d95c5d04f1658a
a0483db3725f8a50078daee7fd10f9bb
http://storkse.com/upload.php
http://storkse.com/list.php?f=%COMPUTERNAME%.txt
77d05cc623f860ca2e6d47cdafc517aa0612de88291de7f2a3d95c5d04f1658a
a0483db3725f8a50078daee7fd10f9bb
http://storkse.com/upload.php
http://storkse.com/list.php?f=%COMPUTERNAME%.txt