2024년 8월, 북한 공격자들이 국내 몇몇 대학교 홈페이지를 사칭해 해당 대학의 계정을 탈취하려고 시도했던 사건이 있었다. 당시 Kimsuky 그룹은 서버에 계정과 관련된 정보(ip 값 등)을 탈취했다.
https://blog.criminalip.io/ko/2024/07/24/%EA%B9%80%EC%88%98%ED%82%A4/
김수키 해커가 만든 고려대학교 피싱 사이트, 연구기관 전체를 노리는 건가
북한 해킹그룹 김수키(Kimsuky)가 고려대학교 포털 사이트로 위장한 피싱사이트를 개발했다는 소식에 논란이 되고 있다. 해당 고려대학교 피싱사이트를 확보해 확인해보니 고려대학교 공식 포털
blog.criminalip.io
https://boannews.com/html/detail.html?idx=131655
북한 김수키 추정 해킹그룹, 고려대와 성균관대 등 대학 피싱 사이트로 워터링 홀 공격 노렸나
북한 해킹그룹 김수키(Kimsuky)가 고려대 포털 사이트로 위장한 피싱사이트를 개발한 것으로 추정돼 우려가 커지고 있다. 해당 고려대 피싱 사이트를 확인해보니 고려대 공식 포털사이트와 완전
m.boannews.com
최근, 해당 공격과 관련되어 보이는 lnk 악성코드가 발견되어 본 글에서 분석한다.
악성코드는 lnk 형태를 가지고 있다. 이전의 APT37 등이 유포한 lnk 악성코드들은 용량이 큰 특징을 가졌음과 달리 해당 악성코드 lnk는 약 5.92kb의 작은 용량을 가진다.
내부에 cmd 쉘 실행 명령어를 포함하는 것은 동일하다. 해당 명령어를 통해 악성 파워쉘 코드를 실행한다.
파워쉘 코드는 파일의 내부 값을 가져와 해당 값을 xor 디코딩 해 저장하는 동작을 수행한다. 또한, 해당 파워쉘 코드는 실행 경로에서 lnk 파일을 찾고, 해당 lnk 파일의 크기가 0x17B1일 경우 실행된다. (getShapePath 함수)
* xor key : 0x77
xor 디코딩이 수행된 값은 아래 그림과 같다. "rhfueo)@@)" 라는 문자열이 제일 앞에 위치하는 것을 볼 수 있으며 해당 값은 고려대)@@)를 대한민국 키보드에서 영문변환해 작성한 것이다. 또한 중간중간 "rhfueo)@@)" 문자열이 존재함을 볼 수 있다.
디코딩 된 파일은 %TEMP% 경로 아래에 "tmp[랜덤문자열].vbs"로 저장된다.
해당 vbs 악성코드는 최종적으로 C2 서버로 연결해, 파일을 다운로드 받고 해당 파일을 실행시킨다.
* C2 : http://hondex[.]getenjoyment[.]net/denak/info/list[,]php?query1
* 추측상 해당 악성코드는 최근 kimsuky 그룹이 사용하고 있는 Rhadamanthys 스틸러 악성코드일 것으로 보여짐
* 현재 C2 서버 접속 불가능
'Analysis' 카테고리의 다른 글
| 85. Kimsuky's Twitch - Payment Plan.msc (1) | 2024.09.12 |
|---|---|
| 84. Head Mare correlation (0) | 2024.09.09 |
| 82. misp - maltego 연결 (0) | 2024.09.03 |
| 81. North Korea's Lilith RAT Correlation (0) | 2024.08.25 |
| 80. Kimsuky's Skidibi Boilet Master.msc (4) | 2024.08.19 |
