Konni(코니) 에서 만든 악성코드-NService_youngji057.chm(2023.11.18)
Contents
오늘은 오늘은 북한 해킹 단체 Konni(코니) 에서 만든 악성코드에서 만든 악성코드인 NService_youngji057.chm(2023.11.18)에 대해 글을 적어보겠습니다.
2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행합니다. 일단 해당 악성코드는 chm 즉 윈도우 도움말 형식으로 돼 있지만 실제로는 악성코드입니다. 해당 악성코드는
NService_youngji057.rar으로 유포되었으며 해당 악성코드를 풀고 나면 NService_youngji057.chm 이 있습니다.
일단 먼저 해당 NService_youngji057.chm를 실행을 하면 다음과 같은 내용을 확인할 수가 있습니다.
인감증명서 1부와
위임장에 인감도장 날인하셔서 보내주심 감사하겠습니다~
이번에는 인감증명서 인감도장을 보내 달라고 하지만 실제로는 미끼 파일입니다.
먼저 해당 악성코드 해쉬값은 다음과 같습니다.
파일명:NService_youngji057.chm
사이즈:10.6 KB
MD5:717d7c2ee8e97b512cbcecde3aa300c3
SHA-1:110d2f5e4e58f4209d1875dbcb5bbfaf811e4d55
SHA-256:521318321221435f7f6d2f1abed8d6ce71fd02ede1048137ae3d3bbab6826c18
이며 기본적으로 해당 chm 파일 자체에 악성코드가 있는 것이 아니고 해당 악성코드를 실행하면 기본적으로 chm 파일을 보여 주고 나서 Start(.)html 에 포함이 된 링크를 통해서 해킹된 사이트로 이동되며 여기서 웹 소스 보기를 하면 파워셀(PowerShell)를 이용해서 동작하는 방법을 취합니다.
Chm 파일에 포함된 악성코드 내용
<html> <head><meta http-equiv='Content-Type' content='text/html;charset=UTF-8'></head> <body> <div …
2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행합니다. 일단 해당 악성코드는 chm 즉 윈도우 도움말 형식으로 돼 있지만 실제로는 악성코드입니다. 해당 악성코드는
NService_youngji057.rar으로 유포되었으며 해당 악성코드를 풀고 나면 NService_youngji057.chm 이 있습니다.
일단 먼저 해당 NService_youngji057.chm를 실행을 하면 다음과 같은 내용을 확인할 수가 있습니다.
인감증명서 1부와
위임장에 인감도장 날인하셔서 보내주심 감사하겠습니다~
이번에는 인감증명서 인감도장을 보내 달라고 하지만 실제로는 미끼 파일입니다.
먼저 해당 악성코드 해쉬값은 다음과 같습니다.
파일명:NService_youngji057.chm
사이즈:10.6 KB
MD5:717d7c2ee8e97b512cbcecde3aa300c3
SHA-1:110d2f5e4e58f4209d1875dbcb5bbfaf811e4d55
SHA-256:521318321221435f7f6d2f1abed8d6ce71fd02ede1048137ae3d3bbab6826c18
이며 기본적으로 해당 chm 파일 자체에 악성코드가 있는 것이 아니고 해당 악성코드를 실행하면 기본적으로 chm 파일을 보여 주고 나서 Start(.)html 에 포함이 된 링크를 통해서 해킹된 사이트로 이동되며 여기서 웹 소스 보기를 하면 파워셀(PowerShell)를 이용해서 동작하는 방법을 취합니다.
Chm 파일에 포함된 악성코드 내용
<html> <head><meta http-equiv='Content-Type' content='text/html;charset=UTF-8'></head> <body> <div …
IoC
110d2f5e4e58f4209d1875dbcb5bbfaf811e4d55
521318321221435f7f6d2f1abed8d6ce71fd02ede1048137ae3d3bbab6826c18
717d7c2ee8e97b512cbcecde3aa300c3
http://goodmarket.or.kr/admin/sms/3.html
http://goodmarket.or.kr/admin/sms/net.php
521318321221435f7f6d2f1abed8d6ce71fd02ede1048137ae3d3bbab6826c18
717d7c2ee8e97b512cbcecde3aa300c3
http://goodmarket.or.kr/admin/sms/3.html
http://goodmarket.or.kr/admin/sms/net.php