2024년 8월, 북한 공격자들이 국내 몇몇 대학교 홈페이지를 사칭해 해당 대학의 계정을 탈취하려고 시도했던 사건이 있었다. 당시 Kimsuky 그룹은 서버에 계정과 관련된 정보(ip 값 등)을 탈취했다.
https://blog.criminalip.io/ko/2024/07/24/%EA%B9%80%EC%88%98%ED%82%A4/
https://boannews.com/html/detail.html?idx=131655
최근, 해당 공격과 관련되어 보이는 lnk 악성코드가 발견되어 본 글에서 분석한다.
악성코드는 lnk 형태를 가지고 있다. 이전의 APT37 등이 유포한 lnk 악성코드들은 용량이 큰 특징을 가졌음과 달리 해당 악성코드 lnk는 약 5.92kb의 작은 용량을 가진다.
내부에 cmd 쉘 실행 명령어를 포함하는 것은 동일하다. 해당 명령어를 통해 악성 파워쉘 코드를 실행한다.
파워쉘 코드는 파일의 내부 값을 가져와 해당 값을 xor 디코딩 해 저장하는 동작을 수행한다. 또한, 해당 파워쉘 코드는 실행 경로에서 lnk 파일을 찾고, 해당 lnk 파일의 크기가 0x17B1일 경우 실행된다. (getShapePath 함수)
* xor key : 0x77
xor 디코딩이 수행된 값은 아래 그림과 같다. "rhfueo)@@)" 라는 문자열이 제일 앞에 위치하는 것을 볼 수 있으며 해당 값은 고려대)@@)를 대한민국 키보드에서 영문변환해 작성한 것이다. 또한 중간중간 "rhfueo)@@)" 문자열이 존재함을 볼 수 있다.
디코딩 된 파일은 %TEMP% 경로 아래에 "tmp[랜덤문자열].vbs"로 저장된다.
해당 vbs 악성코드는 최종적으로 C2 서버로 연결해, 파일을 다운로드 받고 해당 파일을 실행시킨다.
* C2 : http://hondex[.]getenjoyment[.]net/denak/info/list[,]php?query1
* 추측상 해당 악성코드는 최근 kimsuky 그룹이 사용하고 있는 Rhadamanthys 스틸러 악성코드일 것으로 보여짐
* 현재 C2 서버 접속 불가능
'Analysis' 카테고리의 다른 글
85. Kimsuky's Twitch - Payment Plan.msc (1) | 2024.09.12 |
---|---|
84. Head Mare correlation (0) | 2024.09.09 |
82. misp - maltego 연결 (0) | 2024.09.03 |
81. North Korea's Lilith RAT Correlation (0) | 2024.08.25 |
80. Kimsuky's Skidibi Boilet Master.msc (4) | 2024.08.19 |