Analysis (98) 썸네일형 리스트형 75. Kimsuky's outlook stealer 2024년 7월 2일, Kimsuky 그룹이 공격에 사용한 것으로 보여지는 BabyShark 관련 outlook stealer 내용을 트위터에서 발견했다. 본 글에서는 해당 stealer를 분석한다. 먼저, Outlook stealer는 총 2개의 url로 유포되었다.- hxxps://www[.]evangelia[.]edu/img/503/outlook/1outlook- hxxps://www[.]evangelia[.]edu/img/503/outlook/2outlook 내용은 각각 아래와 같다. 두 파일의 내용은 내부 powershell 코드에 약간의 차이만 있을 뿐, 나머지는 동일하다. 공격 대상 PC의 %APPDATA% 폴더 아래에 Microsoft 폴더를 생성한다. 이후 생성한 Microsoft 폴더 .. 74. Correlation APT42 & Lazarus 얼마 전, 개인적으로 운용중인 MISP(Malware Information Sharing Platform)에서 재밌는 상관관계를 발견해 글을 작성한다. 발견한 상관관계는 이란이 배후로 있는 것으로 의심되는 APT42(Charming Kitten)의 이벤트에서 나타난다. 아래 글이 해당 사건에 대한 구글 클라우드 측의 보고서이다.https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations?hl=en Uncharmed: Untangling Iran's APT42 Operations | Google Cloud BlogAPT42 is using enhanced social engineering schemes to.. 73. Kimsuky's 애니챗_20240511.xlsx.lnk 정보 수집 중, "애니챗_20240511.xlsx.lnk" 라는 이름의 파일을 발견하였다. 해당 파일에 대해 분석한다. * sha256 : 0c19c0ea46b67a7d5cf75c78dd1148d7aa51d0ce942040733a60ea1bfad33666 해당 파일은 lnk 형태를 가지고 있으며 이전에 Kimsuky 그룹이 유포한 lnk 악성코드와 비슷하게 내부에 파워쉘 실행 코드를 포함한다. 위 코드 부분만 따로 떼어보면 아래 그림과 같다. $a 변수에 base64 인코딩 된 값이 할당되어 있으며 해당 값을 디코딩한 후 실행하는 형태이다. $a 변수에 할당된 base64 값을 디코딩 하면 아래 그림과 같다. 내부 값을 이용해 xor 디코딩 연산을 수행한다. 해당 연산을 통해 실제 악성행위를 수행하는 코.. 72. Lazarus's Python malware 정보 수집 중, 지난 4월 Lazarus 그룹이 유포한 Python 악성코드를 수집하였다. python 기반의 악성코드라는 점이 흥미로워 분석해보았다. 해당 악성코드는 Python 언어로 제작되었고, 2024년 5월 12일 현재 VirusTotal에서도 3개의 Anti-Virus 업체만이 탐지중이다. 해당 악성코드는 내부에 base64 인코딩 된 실제 악성 행위 코드를 포함하고 있다. 해당 base64 인코딩 된 코드가 base64 디코딩 된 후 exec() 함수를 통해 실행된다. base64 디코딩 된 이후 코드를 살펴보면, AnyDesk와 관련된 문자열들이 등장한다. 해당 문자열들은 C2 서버로부터 다운로드 받는 악성코드를 AnyDesk 프로그램처럼 위장하기 위한 목적이다. 디코딩 된 코드에서는 4개.. 70. North Korea's Phishing mail program (메일전송 프로그람 ver10.0) 얼마 전, 북한 지원 공격자들이 사용했던 것으로 보여지는 피싱 메일 생성/전송 프로그램을 입수했다. 매우 신기해서 분석해봤다. 일단, 메일 전송 프로그램은 아래 그림처럼 생겼다. 특이점으로는 "오유", "프로그람" 이라는 북한식 말을 사용하고 있다는 점이다. 또, 버전이 10.0인 것을 보면 해당 프로그램이 이전에도 여러 버전이 있었을 것으로 보여진다. 메일 전송시에 base64 인코딩이나 난독화 등을 수행할 것인지에 대한 체크 박스도 존재한다. 실제로 전송이 되나 궁금해서 개인 메일로 테스트를 진행해봤는데, 전송 이후에는 "메일전송이 완료되였습니다" 라는 문구가 나타난다. 메일 서버에서 걸러진 것인지는 모르지만, 실제로 메일이 도착되지는 않았다. 만약 메일이 실제로 전송된다면 아래 두 링크 중 하나를 .. 69. Kimsuky's lnk malware attack method 최근 Kimsuky 그룹은 lnk 파일을 적극 활용하여 악성코드를 유포하고 있다. 사용되는 악성코드들은 보통 10메가 ~ 50메가 이상의 lnk 파일로 구성되고 내부적으로 파워쉘, 실행 bat, 위장 문서 파일의 내용을 포함하고 있다. (이외 부분들은 모두 더미 값이다.) 해당 악성코드 유포 방법에 대해 전체적인 도식도를 본 글에 기재한다. 피해자가 lnk 파일을 실행할 경우, lnk 파일 내부에 존재하는 파워쉘 코드, bat 파일이 각각 생성된다. 동시에 각기 실행되며 파워쉘 코드 및 bat 파일을 이용해 lnk 파일 내부 값을 파싱해 위장 문서 생성, dropbox 등 cloud 저장소 서비스를 이용해 RAT 악성코드 등 추가 악성코드를 피해자 PC에 다운로드하고 실행한다. 추가 악성코드로 탈취한 피.. 68. Kimsuky Correlation (Disguised Korean Public Institution) 얼마 전, Kimsuky 그룹이 한국 공공 기관을 사칭한 형태로 악성코드를 유포하는 것이 확인되었다. 해당 유포와 관련하여 안랩측에서 보고서를 작성해 공개하기도 하였으며 위협 지표를 공유하는 사이트에 관련 지표들이 공유되기도 하였다. https://asec.ahnlab.com/ko/62117/ 국내 공공기관의 설치 파일을 위장한 악성코드 (Kimsuky 그룹) - ASEC BLOG AhnLab SEcurity intelligence Center(ASEC)에서는 최근 Kimsuky 그룹이 악성코드를 국내 공공기관의 인스톨러로 위장하여 유포한 사실을 확인하였다. 해당 악성코드는 드로퍼(Dropper)로서 과거 “보안 프로그 asec.ahnlab.com 관련해서 개인적으로 운영하고 있는 MISP(Malware.. 67. Xworm V5.2 얼마 전, Xworm V5.2 가 유포된 것이 ITW 상 포착되었다. 분석하기에 재밌어 보여 해당 악성코드에 대해 분석해보았다. * sha256 : 5ce080055262bb21798a99e83d370fab41b809ebd8d59bc083bdac2a49b2427e 기본적으로 해당 샘플은 .NET 악성코드이다. 내부를 살펴보면 "Fluxsus V8" 이라는 이름을 가지고 있는데, 해당 이름은 로블록스 구동에 필요한 소프트웨어인 "Fluxus" 를 위장한 것으로 보여진다. 해당 악성코드는 실행 시 중복 방지를 위해 뮤텍스를 생성한 뒤, 파일 내부의 일부 값을 추출해 새로운 실행 파일들을 생성한다. 총 4개의 추가 파일을 생성한다. 이 중 하나는 "schtasks.exe" 파일명을 가지고 생성된다. 탐지 회피.. 이전 1 2 3 4 5 6 7 ··· 13 다음
