분류 전체보기 (137) 썸네일형 리스트형 64. No-Justice Wiper 2024년 1월 6일, 아래와 같은 기사를 접했다. 오랜만에 Wiper 악성코드를 보기도 했고, 이란측 공격자들의 악성코드도 오랜만에 분석해보고 싶어서 해당 악성코드를 분석해봤다. https://thehackernews.com/2024/01/pro-iranian-hacker-group-targeting.html Pro-Iranian Hacker Group Targeting Albania with No-Justice Wiper Malware A new wave of cyber attacks in Albania, orchestrated by an Iranian group, uses a destructive malware named No-Justice. thehackernews.com * sha256 : 36.. 63. Rhysida Ransomware (0.1) 최근, Rhysida 랜섬웨어가 활발히 활동중인 것을 확인하였다. 본 글에서는 입수한 Rhysida-0.1 에 대해 분석한다. - sha256 : 8061bb999a0f5d3165742283001a7a68e7905718c928172343bf8456b69f268d 입수한 샘플의 경우 64 비트 실행파일이다. Rhysida 랜섬웨어는 가장 처음 난수를 설정하고, getcwd() 함수를 이용해 현재 위치를 파악한다. 이후 자체적으로 관리하는 옵션 값이 무엇이 할당되었는지를 확인한다. 옵션은 d, sr, nobg, md5, S 의 총 5개로 이루어진다. 각각 옵션은 설정될 경우 아래와 같은 역할을 수행한다. -d : 암호화 디렉토리 이름 지정, 생략될 경우 문자로 식별되는 모든 드라이브가 대상이 됨 -sr: 파.. 62. andariel's DLRAT 얼마 전, Andariel 그룹의 DLRAT 이라는 악성코드가 유포된 것을 확인하였다. 해당 악성코드는 TALOS 측에서 Operation Blacksmith 라는 명칭을 사용한 분석 보고서에서 확인하였는데, D lang 을 사용해 작성된 악성코드라고해서 분석해보았다. https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/ Operation Blacksmith: Lazarus targets organizations worldwide using novel Telegram-based malware written in DLang Our latest findings indicate a definitive shift in the tactic.. 61. 발주서 11월 10일 얼마 전, 바이러스토탈에 특정 기업 내 임직원을 겨냥한 악성 이메일이 업로드 된 것을 확인하였다. 본 글에서는 해당 악성 스피어피싱 이메일을 분석한다. 발신된 이메일은 "하태용" 이라는 특정인으로 위장하고 있고, VBT001299.dat 의 첨부파일을 첨부하고있다. 내용에서는 "첨부의 내용으로 발주하오니 납기 확인부탁드립니다." 라고 말하며 첨부파일의 열람을 유도한다. 첨부된 첨부파일은 iframe 태그로 특정인을 겨냥한 스피어피싱 페이지로 피해자를 이동시킨다. 열람 즉시 피해자는 iframe 태그 내의 피싱 페이지로 이동하게된다. 피싱 페이지로 이동하게 되면 엑셀 로그인 창을 위장하는 페이지가 나타난다. 특정인의 아이디 계정이 미리 채워져 있고, 패스워드란만 비워져있어 패스워드 입력을 유도한다. 피해자.. 60. Kimsuky's 국제안보군사정세(통권 제 273호) 얼마 전, Kimsuky 그룹이 유포한 것으로 확인되는 "2023년 10월 4주차 주간 국제안보군사정세(통권 제 273호).lnk" 파일이 발견되었다. 본 글에서는 해당 악성코드를 분석한다. sha256 : 178bf7767629645cc2d0ce18287568751bfae1feb317313513a08fd1b6d97204 먼저, 해당 파일의 헤더는 PK로 압축 파일 형식을 띈다. 하지만 파일 내부 다른 부분에서 실제 악성행위를 수행하는 코드들을 포함하고 있다. 파일 내 다른 부분을 살펴보면 아래와 같이 파워쉘 코드를 포함하고 있음을 알 수 있다. 해당 파워쉘 코드는 파일 내부 영역에서 위장 pdf 파일과 실제 악성행위를 수행하는 bat 파일을 추출한다. 파워쉘 코드가 실행되면 아래와 같이 bat 파일과 .. 59. Konni's 주요도시 시장가격 조사 얼마 전 Konni 그룹이 유포한 것으로 보이는 "주요도시 시장가격 조사.xlsx.lnk" 악성코드가 발견되었다. sha256: 729faf7388908dc19ca5a0c163da1a7089ca4848a1160cf84aac6585383da849 해당 악성코드는 lnk 파일로, 내부 코드들을 가져오고 bat 파일등을 실행시켜 악성행위를 수행한다. 상세 악성 행위는 아래 이전 글들처럼 동작한다. https://p3ngdump.tistory.com/123 56. Konni's 김정은 방러결과 2023년 09월 18일, Konni 조직(APT37, ScarCruft, RedEyes, 금성121)이 유포한것으로 보이는 악성코드를 발견했다. 해당 악성코드는 "2023-0918 김정은 방러결과.lnk" 파일로, 김정.. 10. FUD(Fully UnDetectable) 보호되어 있는 글입니다. 58. Konni's 부가가치세과세표준증명 2023년 09월 28일, 북한의 Konni 그룹(Kimsuky 산하 그룹 추정)이 유포한 부가가치세과세표준증명.hwp.lnk 파일이 확인되었다. 아래 글에서는 해당 악성파일을 분석한다. 먼저, 해당 파일은 "부가가치세 과세표준증명원 제출 안내문.zip" 이라는 파일명을 가지며 압축 파일로 유포되었다. 유포된 파일을 압축 해제시, 아래와 같이 부가가치세과세표준증명(국문).hwp, 부가가치세과세표준증명(영문).hwp 의 두 개 파일이 나타난다. 이 중 부가가치세과세표준증명(국문)에 해당되는 파일은 한글파일처럼 위장하였으나 실제로는 lnk 확장자를 가지는 바로 가기 파일이다. 실제 부가가치세과세표준증명(국문) 파일의 속성을 확인해보면 아래와 같이 명령 프롬프트 실행 파일을 바로가기 대상으로 삼고 있는 것을 .. 이전 1 2 3 4 5 ··· 18 다음
