lazarusholic

2023-08-21, Hauri
https://download.hauri.net/DownSource/down/dwn_detail_down.html?uid=53
2023-08-21_ìì_ëì_ë³ê³ìZoom_ìì_ìë³ë_ììí_ReconShark.pdf, 701.8 KB
#Kimsuky #ReconShark

Zoom 접속 정보로 위장한 ReconShark
(Kimsuky APT)

( Document No : DT-20230821-001 )

www.hauri.co.kr


악성코드 상세 분석 보고서

하우리

ㅇ 분석 개요
2023 년 5 월 북한의 해킹 그룹 Kimsuy 의 새로운 악성코드가 발견됐으며, 이 악성코드는
염탐 및 정보 탈취를 주목적으로 삼고 있으며 ReconShark 로 불리고 있다.
ReconShark 는 북한 관련 정보를 다루는 업체 및 인물들을 대상으로 메일에 첨부되어
유포되고 있으며, 사용 중인 PC 백신에 따라 다른 방법으로 악성코드를 실행하는 치밀함을
보이고 있다.

ㅇ 악성코드 순서도

페이지 2 / 7


악성코드 상세 분석 보고서

하우리

1. Zoom Info.vbs
(MD5 : EA986B990B17C7EF847B7ABF1B108373, SIZE : 31,828)
개요 : C&C 서버에 접속하여 AES 복호화 키를 가져와 암호화된 악성코드 다운로드 코드를
복호화 후 실행하며, 다운로드 코드는 실행 중인 백신 프로세스에 따라 다르게 실행됨
ViRobot

VBS.S.Agent.31828

상세분석 :
(1) 정상 파일로 위장하기 위해 화상 회의 서비스 “Zoom” 접속 정보가 작성된 문서를 C&C
서버에 접속하여 사용자에게 보여준다.


C&C 서버 : hxxps://mngrdp.site/hiro/share.docx (※접속 시 공격자의 구글 드라이브로
리다이렉트됨)

[그림 1] Zoom Info.pdf
(2) 감염 PC 에 연결된 배터리 정보와 프로세스 목록을 수집하여 C&C 서버에 전송한다.


C&C 서버 : hxxps://mngrdp.site/hiro/r.php

[그림 2] 정보 수집 후 C&C …

EA986B990B17C7EF847B7ABF1B108373
http://mngrdp.site/hiro/ca.php?na=dot_avg.gif
http://mngrdp.site/hiro/d.php?na=battmp
https://mngrdp.site/hiro/ca.php?na=dot_eset.gif
https://mngrdp.site/hiro/ca.php?na=dot_kasp.gif
https://mngrdp.site/hiro/r.php
https://mngrdp.site/hiro/re.php
https://mngrdp.site/hiro/share.docx