Malware (39) 썸네일형 리스트형 55. Kimsuky(Konni?)'s 국세청 종합소득세 2023년 09월 12일, Kimsuky 그룹 혹은 Konni 그룹이 유포한 것으로 추정되는 악성코드가 발견되었다. 해당 악성코드는 "국세청 종합소득세 해명자료 제출 안내.hwp.lnk" 파일로, 국세청 자료를 위장하고 있지만 실제로는 피해자 PC의 각종 정보를 탈취해가는 Stealer 이다. * sha256 : e631222de34a094f0dff24d76843923f83cdd436453a35d5cae4536b4a565ea8 유포된 악성파일은 바로가기 파일의 형태를 취하고 있다. 실제 바로가기 대상은 cmd 로 지정되어있는 것을 볼 수 있다. 악성파일의 내부에는 아래와 같은 코드가 포함되어 있어, 악성행위를 위한 powershell을 실행한다. hex 값으로 하드코딩 되어 있는 악성 스크립트가 포함되어.. 54. Kimsuky's Puyi (CHM malware) 2023년 09월 04일, 북한의 킴수키 그룹이 유포한 것으로 추정되는 CHM 악성코드를 입수했다. 본 글에서는 해당 악성코드를 분석한다. 해당 악성코드를 분석 중 등장하는 특이점을 따 Puyi 라는 이름을 붙였다. * sha256 : 9fd5094447ff48e7ec032ced663717c99a164a5e8f4222d8f9cc708e24d3bc4d 먼저, 악성코드는 특정 회사의 08월 급상여대장 파일로 위장하고 있다.CHM 파일 열람시 아래 그림과 같은 화면이 나타난다. 아마 해당 악성코드는 특정 회사를 타겟팅하여 유포된 것으로 보여진다. 해당 CHM 악성코드는 실행시 자동으로 내부적으로 포함된 powershell 코드를 실행한다. 또한, 왼쪽 아래의 버튼을 클릭할 시에도 함수가 호출되며 powersh.. 52. Konni's fake lnk 북한 해킹 그룹 중 하나로 분류되는 konni 그룹의 악성코드를 발견해 분석한다. - sha256: 1b78477a71df02b68f24e8c8c77f3858624b0bc9e4442ce193bde1c298160fc4 해당 악성코드는 아래 그림처럼 lnk 파일로 위장하고 있다. 실제로 파일 실행시에는 연합뉴스의 기사로 연결되게끔 설정이 되어있다. 피해자에게는 연합뉴스의 기사를 띄우고, 동시에 또 다른 악성코드를 다운로드 하는 행위가 수행된다. 악성행위를 위해서 연합뉴스 기사 링크 연결부 아래에 위치하는 아래와 같이 powershell 실행 명령어가 실행된다. 실행시에는 hidden 옵션등을 활용해 피해자가 해당 명령이 실행되고 있는지 모르게끔 설정한다. start /min c:\\Windows\\SysWO.. 49. Charming Kitten's POWERSTAR TA453, Charming Kitten 그룹이 이전에 유포했던 CharmPower를 업그레이드 한 POWERSTAR를 유포했다. https://securityaffairs.com/148275/apt/ta453-malware-windows-macos.html Iran-linked APT TA453 targets Windows and macOS systems Iran-linked APT group tracked TA453 has been linked to a new malware campaign targeting both Windows and macOS systems. The Iran-linked threat actor TA453 has been linked to a malware campaign that.. 46. Kimsuky's CHM 최근 Kimsuky 그룹이 위장 chm 파일을 이용하여 악성코드를 유포하고 있다. 스피어피싱 공격 기법 등과 조합하여 chm 파일을 열람하도록 유도해 RAT 악성코드 등을 유포하는 형태이다. - 관련 분석 보고서 https://blog.alyac.co.kr/4609 https://p3ngdump.tistory.com/109 45. Aukill 랜섬웨어 공격자들이 Aukill 이라는 도구를 사용해 MS Defender나 드라이버의 취약점을 통해 EDR를 회피한다는 기사를 접했다. https://thehackernews.com/2023/04/ransomware-hackers-using-aukill-tool-to.html Ransomware Hackers Using AuKill Tool to Disable EDR Software Using BYOVD Attack Ransomware attackers are utilizing a new "defense evasion tool" called AuKill to deactivate EDR software using a BYOVD attack. thehackernews.com https://www.boann.. 44. Lazarus's VHD Ransomware 최근 VirusTotal에 아래 글과 관련되어 보이는 Ransomware가 다수 나타났다. https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/ Lazarus 그룹이 이용한 VHD Ransomware로 보이는데, 이와 관련해 Maltego를 이용해 관련 파일들 등의 정보를 찾아봤다. (이미 분석 글 등은 많이 공개되어 있기도 하고, 랜섬웨어이기 때문에 핵심 기능은 파일 암호화에 집중되어있어 샘플 분석 내용은 담지 않았다.) 발견한 파일 hash는 아래와 같다. - a5c073c154010ae32b0d9643b56f6cfebc7263d676b66d8efc445ccb9c22b927 - 9e671cdb8cd195ed1d994f2f3fb13cae603e.. 41. Kimsuky's [KBS 일요진단]질문지.docx 2023년 2월경 [KBS 일요진단]질문지.docx 라는 이름으로 kimsuky의 악성코드가 유포되었다. 해당 악성코드는 정상적인 워드 문서 파일로 위장하고 있지만 Template Injection 등을 통해 내부적으로는 악성 스크립트를 다운로드 및 실행해 감염 PC의 정보들을 C2 서버로 전송하는 행위를 수행한다. 처음 파일을 열면 아래와 같이 Microsoft Office 아이콘과 함께 "콘텐츠를 불러올수 없습니다" 와 "호환성문제로 콘텐츠를 올바르게 불러올수 없습니다." 등의 문구가 존재하는 이미지를 띄운다. 해당 이미지를 통해 피해자에게 "편집 사용", "콘텐츠 사용" 버튼을 클릭하게 해 decoy 문서를 다운로드 받게 하는 목적이다. * 특이점: 해당 문서의 언어 설정값이 일본어로 되어 있다. .. 이전 1 2 3 4 5 다음
