Malware (38) 썸네일형 리스트형 69. Kimsuky's lnk malware attack method 최근 Kimsuky 그룹은 lnk 파일을 적극 활용하여 악성코드를 유포하고 있다. 사용되는 악성코드들은 보통 10메가 ~ 50메가 이상의 lnk 파일로 구성되고 내부적으로 파워쉘, 실행 bat, 위장 문서 파일의 내용을 포함하고 있다. (이외 부분들은 모두 더미 값이다.) 해당 악성코드 유포 방법에 대해 전체적인 도식도를 본 글에 기재한다. 피해자가 lnk 파일을 실행할 경우, lnk 파일 내부에 존재하는 파워쉘 코드, bat 파일이 각각 생성된다. 동시에 각기 실행되며 파워쉘 코드 및 bat 파일을 이용해 lnk 파일 내부 값을 파싱해 위장 문서 생성, dropbox 등 cloud 저장소 서비스를 이용해 RAT 악성코드 등 추가 악성코드를 피해자 PC에 다운로드하고 실행한다. 추가 악성코드로 탈취한 피.. 68. Kimsuky Correlation (Disguised Korean Public Institution) 얼마 전, Kimsuky 그룹이 한국 공공 기관을 사칭한 형태로 악성코드를 유포하는 것이 확인되었다. 해당 유포와 관련하여 안랩측에서 보고서를 작성해 공개하기도 하였으며 위협 지표를 공유하는 사이트에 관련 지표들이 공유되기도 하였다. https://asec.ahnlab.com/ko/62117/ 국내 공공기관의 설치 파일을 위장한 악성코드 (Kimsuky 그룹) - ASEC BLOG AhnLab SEcurity intelligence Center(ASEC)에서는 최근 Kimsuky 그룹이 악성코드를 국내 공공기관의 인스톨러로 위장하여 유포한 사실을 확인하였다. 해당 악성코드는 드로퍼(Dropper)로서 과거 “보안 프로그 asec.ahnlab.com 관련해서 개인적으로 운영하고 있는 MISP(Malware.. 62. andariel's DLRAT 얼마 전, Andariel 그룹의 DLRAT 이라는 악성코드가 유포된 것을 확인하였다. 해당 악성코드는 TALOS 측에서 Operation Blacksmith 라는 명칭을 사용한 분석 보고서에서 확인하였는데, D lang 을 사용해 작성된 악성코드라고해서 분석해보았다. https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/ Operation Blacksmith: Lazarus targets organizations worldwide using novel Telegram-based malware written in DLang Our latest findings indicate a definitive shift in the tactic.. 60. Kimsuky's 국제안보군사정세(통권 제 273호) 얼마 전, Kimsuky 그룹이 유포한 것으로 확인되는 "2023년 10월 4주차 주간 국제안보군사정세(통권 제 273호).lnk" 파일이 발견되었다. 본 글에서는 해당 악성코드를 분석한다. sha256 : 178bf7767629645cc2d0ce18287568751bfae1feb317313513a08fd1b6d97204 먼저, 해당 파일의 헤더는 PK로 압축 파일 형식을 띈다. 하지만 파일 내부 다른 부분에서 실제 악성행위를 수행하는 코드들을 포함하고 있다. 파일 내 다른 부분을 살펴보면 아래와 같이 파워쉘 코드를 포함하고 있음을 알 수 있다. 해당 파워쉘 코드는 파일 내부 영역에서 위장 pdf 파일과 실제 악성행위를 수행하는 bat 파일을 추출한다. 파워쉘 코드가 실행되면 아래와 같이 bat 파일과 .. 59. Konni's 주요도시 시장가격 조사 얼마 전 Konni 그룹이 유포한 것으로 보이는 "주요도시 시장가격 조사.xlsx.lnk" 악성코드가 발견되었다. sha256: 729faf7388908dc19ca5a0c163da1a7089ca4848a1160cf84aac6585383da849 해당 악성코드는 lnk 파일로, 내부 코드들을 가져오고 bat 파일등을 실행시켜 악성행위를 수행한다. 상세 악성 행위는 아래 이전 글들처럼 동작한다. https://p3ngdump.tistory.com/123 56. Konni's 김정은 방러결과 2023년 09월 18일, Konni 조직(APT37, ScarCruft, RedEyes, 금성121)이 유포한것으로 보이는 악성코드를 발견했다. 해당 악성코드는 "2023-0918 김정은 방러결과.lnk" 파일로, 김정.. 58. Konni's 부가가치세과세표준증명 2023년 09월 28일, 북한의 Konni 그룹(Kimsuky 산하 그룹 추정)이 유포한 부가가치세과세표준증명.hwp.lnk 파일이 확인되었다. 아래 글에서는 해당 악성파일을 분석한다. 먼저, 해당 파일은 "부가가치세 과세표준증명원 제출 안내문.zip" 이라는 파일명을 가지며 압축 파일로 유포되었다. 유포된 파일을 압축 해제시, 아래와 같이 부가가치세과세표준증명(국문).hwp, 부가가치세과세표준증명(영문).hwp 의 두 개 파일이 나타난다. 이 중 부가가치세과세표준증명(국문)에 해당되는 파일은 한글파일처럼 위장하였으나 실제로는 lnk 확장자를 가지는 바로 가기 파일이다. 실제 부가가치세과세표준증명(국문) 파일의 속성을 확인해보면 아래와 같이 명령 프롬프트 실행 파일을 바로가기 대상으로 삼고 있는 것을 .. 56. Konni's 김정은 방러결과 2023년 09월 18일, Konni 조직(APT37, ScarCruft, RedEyes, 금성121)이 유포한것으로 보이는 악성코드를 발견했다. 해당 악성코드는 "2023-0918 김정은 방러결과.lnk" 파일로, 김정은의 방러결과를 서술하는 파일처럼 위장하고 있지만 실제로는 ROKRAT 악성코드를 이용해 피해자 PC의 정보를 탈취하는 등의 악성행위를 수행한다. * sha256: f538ca6ef15a18d02358d93d0d4493e594550c681f771b86d75dba19d1ef5e92 유포된 악성파일은 바로가기 파일의 형태를 취하고 있다. 실제 바로가기 대상은 cmd 로 지정되어있는 것을 볼 수 있다. 악성파일 내부에는 다음과 같은 코드가 포함되어있다. 해당 코드를 실행시켜 실제 악성행위를 수.. 55. Kimsuky(Konni?)'s 국세청 종합소득세 2023년 09월 12일, Kimsuky 그룹 혹은 Konni 그룹이 유포한 것으로 추정되는 악성코드가 발견되었다. 해당 악성코드는 "국세청 종합소득세 해명자료 제출 안내.hwp.lnk" 파일로, 국세청 자료를 위장하고 있지만 실제로는 피해자 PC의 각종 정보를 탈취해가는 Stealer 이다. * sha256 : e631222de34a094f0dff24d76843923f83cdd436453a35d5cae4536b4a565ea8 유포된 악성파일은 바로가기 파일의 형태를 취하고 있다. 실제 바로가기 대상은 cmd 로 지정되어있는 것을 볼 수 있다. 악성파일의 내부에는 아래와 같은 코드가 포함되어 있어, 악성행위를 위한 powershell을 실행한다. hex 값으로 하드코딩 되어 있는 악성 스크립트가 포함되어.. 이전 1 2 3 4 5 다음
