lazarusholic

Everyday is lazarus.dayβ

Konni(코니) 만든 북한 시장 물가 분석 문서 위장 해서 공격 하는 악성코드-조선 시장 물가 분석(회령).hwp?(2023.11.17)

2024-02-07, Sakai
https://wezard4u.tistory.com/6728
#Konni

Contents

오늘은 북한 해킹 단체 Konni(코니) 에서 만든 악성코드인 조선 시장 물가 분석(회령).hwp?(2023.11.17)에 대해 글을 적어 보겠습니다. 해당 악성코드는 hwp 즉 한글과 컴퓨터에서 만든 HWP 첨부 파일로 돼 있으며 북한의 시장(장마당) 물가 분석 내용을 담고 있어서 대북 관계자 또는 북한 관련해서 다루는 분들을 타켓으로 하는 것을 추측할 수가 있으며 해쉬값은 다음과 같습니다.
파일명:조선 시장 물가 분석(회령).hwp
사이즈:71.0 KB
MD5:54b3aa4b83e410f4bf28368d59a0711b
SHA-1:b23a3738b6174f62e4696080f2d8a5f258799ce5
SHA-256:d1f81eaf48b878479065d9f04a252edca193bb0ffdd7734daad2103c17a637e9
Cerbero Suite Advanced 로 보면 이미지 파일로 존재하는 것을 확인할 수가 있으며 여기서 hwp 파일을 분석하기 위해서 SSView를 통해서 보면 다음과 같은 화면을 볼 수가 있습니다.
우리의 목표는 BIN0001.ole 파일입니다. 이 걸을 다시 zlib 데이터 압축으로 존재하기 때문에 이걸 보기 좋게 풀면 다음과 같이 C2 서버가 있는 것을 확인할 수가 있습니다.
문서가 실행되면 마치 읽기 전용 속성을 가진 문구를 안내하며 편집을 위해 더블 클릭을 유도하게 설계돼 있습니다. 이 걸을 한글에서 조판 부호를 선택하면 우리는 OLE 사용을 하고 있음이라는 것을 확인할 수가 있습니다.
즉 해당 부분은 한글과 컴퓨터의 한글 프로그램 취약점을 악용한 것이 아니고 정상적인 문서에다가 악성 OLE을 삽입해서 사용자가 …

IoC

54b3aa4b83e410f4bf28368d59a0711b
b23a3738b6174f62e4696080f2d8a5f258799ce5
d1f81eaf48b878479065d9f04a252edca193bb0ffdd7734daad2103c17a637e9
http://nav.offlinedocument.site/capture/parts/you