북한 해킹 단체 김수키(Kimsuky)만든 악성코드-Condor_API-1.chm

오늘도 즐겁게 북한 해킹 단체 김수키(Kimsuky) 만든 악성코드-Condor_API-1.chm 에 대해서 글을 적어보겠습니다. 일단 해당 악성코드는 Condor Casino API에 관해서 chm 파일인 것처럼 속인 악성코드입니다.
Condor Casino API는 카지노 플랫폼이 슬롯, 라이브 카지노, 기타 게임 콘텐츠를 외부 게임 제공사와 연동할 수 있도록 제공되는 API
자체 카지노 사이트나 플랫폼에서 여러 게임 제공사의 게임을 실행하고 사용자 잔액, 베팅, 당첨, 보너스, 자유 스핀 등을 API와 콜백 방식으로 처리할 수 있게 해주는 통합 시스템입니다.
사용자가 게임 실행 요청
운영사 서버가 Condor API의 Launch API 호출
Condor API가 게임 세션 URL 반환
유저가 해당 URL로 접속
게임 내에서 Bet/Win 이벤트 발생
Condor API가 운영사 Callback URL로 이벤트 전송
운영사 서버가 잔액 및 트랜잭션 업데이트
게임 결과 반영
등을 설명한 것처럼 돼 있지만, 사실은 이것은 미끼

악성코드 실행시 생성 되는 Link 파일

악성코드 분석

웹 소스를 보면 파워셀로 악성코드를 실행하게 돼 있으며 Base64 부분은 해당 악성코드를 실행을 하기 위한 VBS 입니다.
ActiveX 객체 악용->PowerShell 실행->Base64 디코드->VBScript 실행->원격 서버에서 추가 코드 다운로드 및 실행을 사용
Base64 디코딩을 하면 다음과 같은 결과를 확인 가능
hxxp://check(.)nid-log(.)com/pc/bootservice(.)php?
인 것을 확인할 수가 있음
powershell -windowstyle hidden->Base64 payload를 Link.dat에 저장->certutil -decode로 Link.ini 생성->wsript.exe //b... 실행->원격 URL에서 스크립트 다운로드-> 다운로드한 응답을 Execute()
PowerShell 부분
-windowstyle hidden
사용자에게 창을 보이지 않게 실행
%USERPROFILE%\Links\Link.dat
Base64 인코딩된 VBScript를 저장
certutil -decode
Windows 기본 도구를 이용해 Base64를 디코딩함

Base64 디코딩

배너 없이 VBScript 엔진으로 실행
2.Base64 디코딩 결과
삽입된 Base64는 VBScript
Microsof"&"t.XML"&"HT"&"TP" 및 "GE"&"T"처럼 문자열을 쪼개 탐지를 피하려고 하고 있음
IoC
도메인:check(.)nid-log(.)com
URL:hxxp://check(.)nid-log(.)com/pc/bootservice(.)php?tag=<random>&query=1
목적

powerShell 로 실행 되는 악성코드

bootservice(.)php 에서 추가 VBScript 또는 스크립트 코드를 받아와서 다음 구문  바로 실행
HTML 자체는 1차 드로퍼 실제 최종 행위는 서버 응답에 따라 달라짐
지난 API Reference(API 레퍼런스) 관련 위장하는 악성코드하고 똑같은 C2 사용하는 것이 특징…. 요즈음 북한 애들 카지노 사업에 관심이 많은듯함