Analysis (69) 썸네일형 리스트형 53. NK(Kimsuky)'s malware in VirusTotal 얼마 전, VirusTotal에 북한에서 올린 것으로 보여지는 새로운 파일이 나타났다. 아래 그림처럼 업로드 국가 코드가 KP로 북한으로 나타난 것을 볼 수 있다. 추측하자면 악성코드 제작 후 백신들의 탐지 여부를 알아내기 위해 업로드해 테스트 한 것으로 보인다. - 파일명 : cliam.exe - 파일 해쉬 (sha256) : cc883747986de7f37206e675d1b0fbcf97dfbf4d82c69ca09a38515d736e401e 해당 악성코드와 이전 북한 APT 그룹에서 사용했던 IoC 정보들과의 연관성 파악을 위해 개인적으로 관리하는 VirusTotal의 북한 APT 그룹 Graph에서 연관성을 확인해보았다. 아래 그림에 나타난 IP 및 악성 파일들이 모두 관련된 파일들이다. 이 중 해당.. 52. Konni's fake lnk 북한 해킹 그룹 중 하나로 분류되는 konni 그룹의 악성코드를 발견해 분석한다. - sha256: 1b78477a71df02b68f24e8c8c77f3858624b0bc9e4442ce193bde1c298160fc4 해당 악성코드는 아래 그림처럼 lnk 파일로 위장하고 있다. 실제로 파일 실행시에는 연합뉴스의 기사로 연결되게끔 설정이 되어있다. 피해자에게는 연합뉴스의 기사를 띄우고, 동시에 또 다른 악성코드를 다운로드 하는 행위가 수행된다. 악성행위를 위해서 연합뉴스 기사 링크 연결부 아래에 위치하는 아래와 같이 powershell 실행 명령어가 실행된다. 실행시에는 hidden 옵션등을 활용해 피해자가 해당 명령이 실행되고 있는지 모르게끔 설정한다. start /min c:\\Windows\\SysWO.. 51. Kimsuky's powershell keylogger 얼마전인 2023년 7월 26일에 자체적으로 운용하고 있는 악성코드 수집기에 Kimsuky 조직이 사용한 것으로 보여지는 poshell keylogger가 수집되었다. 본 글에서는 해당 키로거를 분석한다. 해당 키로거는 특정 도메인에서 국내 기자들을 타겟으로 유포된 것으로 파악된다. 형태는 파워쉘이기 때문에 파일 형식 분석 툴에서는 plain text로 나타나는 것을 볼 수 있다. * 도메인 : http://one[.]b***i[.]tokyo * 현재는 접속 불가한 상태이며, 조치가 완료된 것으로 보여짐 해당 키로거는 아래와 같은 네 가지 함수로 구성된다. - InitWebReqSessions : 웹 세션 구성을 위해 User-Agent 등을 설정하는 함수 - PostUpData : 피해자 PC에서 수집.. 50. Kanti ransomware (nim language) NIM 언어로 작성된 랜섬웨어가 새롭게 발견되었다. 본 글에서는 해당 샘플을 분석한다. 먼저, 해당 샘플은 비트코인 지갑이 Lock 되어있는 상태인 것 처럼 피해자를 속인다. 비트코인 지갑 주소를 풀기 위해서는 랜섬웨어 샘플과 같이 동봉된 LNK 파일을 실행하도록 유도하는데, 해당 LNK 파일은 아래 그림에 나타난 것처럼 "Locked_253_BTC.zip" 이름의 Kanti 랜섬웨어를 실행하는 명령로 연결된다. Kanti 랜섬웨어는 Nim 언어로 작성되었다. 아래 그림처럼 관련 정보를 열어보면 Nim 언어로 작성된 것을 알 수 있다. 실행시 가장 먼저 %APPDATA% 아래에 key.txt 를 생성한다. key.txt 내용은 "Get Fucked!" 라는 문자열로 이루어진다. 해당 랜섬웨어는 단순한 형.. 49. Charming Kitten's POWERSTAR TA453, Charming Kitten 그룹이 이전에 유포했던 CharmPower를 업그레이드 한 POWERSTAR를 유포했다. https://securityaffairs.com/148275/apt/ta453-malware-windows-macos.html Iran-linked APT TA453 targets Windows and macOS systems Iran-linked APT group tracked TA453 has been linked to a new malware campaign targeting both Windows and macOS systems. The Iran-linked threat actor TA453 has been linked to a malware campaign that.. 48. Skuld Stealer 2023.06.27 추가 아래 VirusTotal Blog 에서 공개한 PyPI 악성코드 분석 내용 중 Discord Token Grabber 등이 Skuld Stealer와 거의 동일한 것을 확인하였다. Skuld 제작자는 해당 악성코드를 차용 혹은 거의 그대로 가져와 구현한 것으로 보여진다. https://blog.virustotal.com/2023/06/inside-of-wasps-nest-deep-dive-into.html ----------------------------------------------------------------------------------------------------------------------------------------- 얼마전, Go 언어로 제작된 S.. 47. ransomware correlation 보호되어 있는 글입니다. 46. Kimsuky's CHM 최근 Kimsuky 그룹이 위장 chm 파일을 이용하여 악성코드를 유포하고 있다. 스피어피싱 공격 기법 등과 조합하여 chm 파일을 열람하도록 유도해 RAT 악성코드 등을 유포하는 형태이다. - 관련 분석 보고서 https://blog.alyac.co.kr/4609 https://p3ngdump.tistory.com/109 이전 1 2 3 4 5 6 ··· 9 다음
