Analysis (41) 썸네일형 리스트형 59. Konni's 주요도시 시장가격 조사 얼마 전 Konni 그룹이 유포한 것으로 보이는 "주요도시 시장가격 조사.xlsx.lnk" 악성코드가 발견되었다. sha256: 729faf7388908dc19ca5a0c163da1a7089ca4848a1160cf84aac6585383da849 해당 악성코드는 lnk 파일로, 내부 코드들을 가져오고 bat 파일등을 실행시켜 악성행위를 수행한다. 상세 악성 행위는 아래 이전 글들처럼 동작한다. https://p3ngdump.tistory.com/123 56. Konni's 김정은 방러결과 2023년 09월 18일, Konni 조직(APT37, ScarCruft, RedEyes, 금성121)이 유포한것으로 보이는 악성코드를 발견했다. 해당 악성코드는 "2023-0918 김정은 방러결과.lnk" 파일로, 김정.. 57. Kimsuky's Puyi 2023년 09월 22일 아래의 글과 동일한 방식으로 유포된 Kimsuky (or Konni) 그룹의 악성코드가 나타났다. 사용한 chm만 다르고 나머지 파워쉘 실행부, entry01.vbs 등의 내부 악성파일들은 모두 동일하다. 아래 글과 연속된 공격으로 보여진다. https://p3ngdump.tistory.com/121 54. Kimsuky's Puyi (CHM malware) 2023년 09월 04일, 북한의 킴수키 그룹이 유포한 것으로 추정되는 CHM 악성코드를 입수했다. 본 글에서는 해당 악성코드를 분석한다. 해당 악성코드를 분석 중 등장하는 특이점을 따 Puyi 라는 이름 p3ngdump.tistory.com * sha256 :736b219b37a4287389f3b0baa0bd8e04 56. Konni's 김정은 방러결과 2023년 09월 18일, Konni 조직(APT37, ScarCruft, RedEyes, 금성121)이 유포한것으로 보이는 악성코드를 발견했다. 해당 악성코드는 "2023-0918 김정은 방러결과.lnk" 파일로, 김정은의 방러결과를 서술하는 파일처럼 위장하고 있지만 실제로는 ROKRAT 악성코드를 이용해 피해자 PC의 정보를 탈취하는 등의 악성행위를 수행한다. * sha256: f538ca6ef15a18d02358d93d0d4493e594550c681f771b86d75dba19d1ef5e92 유포된 악성파일은 바로가기 파일의 형태를 취하고 있다. 실제 바로가기 대상은 cmd 로 지정되어있는 것을 볼 수 있다. 악성파일 내부에는 다음과 같은 코드가 포함되어있다. 해당 코드를 실행시켜 실제 악성행위를 수.. 55. Kimsuky(Konni?)'s 국세청 종합소득세 2023년 09월 12일, Kimsuky 그룹 혹은 Konni 그룹이 유포한 것으로 추정되는 악성코드가 발견되었다. 해당 악성코드는 "국세청 종합소득세 해명자료 제출 안내.hwp.lnk" 파일로, 국세청 자료를 위장하고 있지만 실제로는 피해자 PC의 각종 정보를 탈취해가는 Stealer 이다. * sha256 : e631222de34a094f0dff24d76843923f83cdd436453a35d5cae4536b4a565ea8 유포된 악성파일은 바로가기 파일의 형태를 취하고 있다. 실제 바로가기 대상은 cmd 로 지정되어있는 것을 볼 수 있다. 악성파일의 내부에는 아래와 같은 코드가 포함되어 있어, 악성행위를 위한 powershell을 실행한다. hex 값으로 하드코딩 되어 있는 악성 스크립트가 포함되어.. 54. Kimsuky's Puyi (CHM malware) 2023년 09월 04일, 북한의 킴수키 그룹이 유포한 것으로 추정되는 CHM 악성코드를 입수했다. 본 글에서는 해당 악성코드를 분석한다. 해당 악성코드를 분석 중 등장하는 특이점을 따 Puyi 라는 이름을 붙였다. * sha256 : 9fd5094447ff48e7ec032ced663717c99a164a5e8f4222d8f9cc708e24d3bc4d 먼저, 악성코드는 특정 회사의 08월 급상여대장 파일로 위장하고 있다.CHM 파일 열람시 아래 그림과 같은 화면이 나타난다. 아마 해당 악성코드는 특정 회사를 타겟팅하여 유포된 것으로 보여진다. 해당 CHM 악성코드는 실행시 자동으로 내부적으로 포함된 powershell 코드를 실행한다. 또한, 왼쪽 아래의 버튼을 클릭할 시에도 함수가 호출되며 powersh.. 53. NK(Kimsuky)'s malware in VirusTotal 얼마 전, VirusTotal에 북한에서 올린 것으로 보여지는 새로운 파일이 나타났다. 아래 그림처럼 업로드 국가 코드가 KP로 북한으로 나타난 것을 볼 수 있다. 추측하자면 악성코드 제작 후 백신들의 탐지 여부를 알아내기 위해 업로드해 테스트 한 것으로 보인다. - 파일명 : cliam.exe - 파일 해쉬 (sha256) : cc883747986de7f37206e675d1b0fbcf97dfbf4d82c69ca09a38515d736e401e 해당 악성코드와 이전 북한 APT 그룹에서 사용했던 IoC 정보들과의 연관성 파악을 위해 개인적으로 관리하는 VirusTotal의 북한 APT 그룹 Graph에서 연관성을 확인해보았다. 아래 그림에 나타난 IP 및 악성 파일들이 모두 관련된 파일들이다. 이 중 해당.. 52. Konni's fake lnk 북한 해킹 그룹 중 하나로 분류되는 konni 그룹의 악성코드를 발견해 분석한다. - sha256: 1b78477a71df02b68f24e8c8c77f3858624b0bc9e4442ce193bde1c298160fc4 해당 악성코드는 아래 그림처럼 lnk 파일로 위장하고 있다. 실제로 파일 실행시에는 연합뉴스의 기사로 연결되게끔 설정이 되어있다. 피해자에게는 연합뉴스의 기사를 띄우고, 동시에 또 다른 악성코드를 다운로드 하는 행위가 수행된다. 악성행위를 위해서 연합뉴스 기사 링크 연결부 아래에 위치하는 아래와 같이 powershell 실행 명령어가 실행된다. 실행시에는 hidden 옵션등을 활용해 피해자가 해당 명령이 실행되고 있는지 모르게끔 설정한다. start /min c:\\Windows\\SysWO.. 51. Kimsuky's powershell keylogger 얼마전인 2023년 7월 26일에 자체적으로 운용하고 있는 악성코드 수집기에 Kimsuky 조직이 사용한 것으로 보여지는 poshell keylogger가 수집되었다. 본 글에서는 해당 키로거를 분석한다. 해당 키로거는 특정 도메인에서 국내 기자들을 타겟으로 유포된 것으로 파악된다. 형태는 파워쉘이기 때문에 파일 형식 분석 툴에서는 plain text로 나타나는 것을 볼 수 있다. * 도메인 : http://one[.]b***i[.]tokyo * 현재는 접속 불가한 상태이며, 조치가 완료된 것으로 보여짐 해당 키로거는 아래와 같은 네 가지 함수로 구성된다. - InitWebReqSessions : 웹 세션 구성을 위해 User-Agent 등을 설정하는 함수 - PostUpData : 피해자 PC에서 수집.. 이전 1 2 3 4 5 6 다음
