꿈을꾸는 파랑새

오늘은 북한 해킹 단체 Konni(코니) 에서 만든 악성코드인 주요도시 시장가격 조사 2023.xlsx.bin(2023.12.29)에 대해 글을 적어 보겠습니다. 해당 악성코드는 
파일명:주요도시 시장가격 조사 2023.xlsx
사이즈:35.4 KB
MD5:28d25a4021536394fd890c4b6d9b5551
SHA-1:39c97ca820f31e7903ccb190fee02035ffdb37b9
SHA-256: 44365e0bcd77f1721d061dc03dd3c1728ad36671ad294ec7b2cf088b1bbefd23
2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT 37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행합니다.
예전에는 이태원 참사를 악용한 CVE-2022-41128 공격을 사용하고 있습니다.

주요도시 시장가격 조사 2023 에 포함된 ActiveX 컨트롤 콘텐츠 사용 경고창
주요도시 시장가격 조사 2023 에 포함된 ActiveX 컨트롤 콘텐츠 사용 경고창

일단 해당 엑셀 파일을 열어 보면 다음과 같이 북한 주요 도시 시장가격 조사라고 돼 있는 파일이 열리고 해당 파일을 실행하면 ActiveX 컨트롤 콘텐츠 사용 경고창이 표시되어서 보안 경고 ActiveX 컨트롤 콘텐츠 사용을 할 수 없도록 설정했습니다. 콘텐츠 사용이라는 것을 눌러주면 C2 도메인에 접속하게 돼 있으며 
주요도시 시장가격 조사 2023\xl\activeX1.bin 에 보면 정확하게 ActiveX 컨트롤 콘텐츠 에 C2 도메인에 포함된 것을 Cerbero Suite Advanced,HxD 프로그램으로 보면 확인을 할 수가 있습니다.

HxD 로 본 C2 서버
HxD 로 본 C2 서버

이번에는 Power Shell 스크립트가 아닌 ActiveX 컨트롤를 사용을 하는 것이 눈에 띄면
2023-12-29 04:24:29 UTC 기준 바이러스토탈에서 탐지하는 보안 업체들은 다음과 같습니다.
AhnLab-V3:Downloader/MSOffice.Malurl
이며 일단 다른 보안 업체들 Avira(아비라),Emsisoft,ESET(이셋),Symantec(시만텍)등에는 신고는 했습니다.

주요도시 시장가격 조사 2023 에 포함된 악성코드 주소
주요도시 시장가격 조사 2023 에 포함된 악성코드 주소

아무튼, 북한 관련 종사하시는 분들을 타켓으로 하는 것으로 추측되며 일단 V3, 알약에서만 탐지되고 있어서 기타 보안 프로그램 사용을 하시는 분들은 조심하시는 것을 추천하면 개인적으로 신고는 했지만 조금은 시간이 걸릴 것입니다.

악성코드 관련 사이트

http://app(.)documentoffice(.)club/salt_view_doc_words?user=H11I75PFF0(Z)G53NDG00H64OE
728x90
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band