오늘은 북한 해킹 단체 Konni(코니) 에서 만든 악성코드인 주요도시 시장가격 조사 2023.xlsx.bin(2023.12.29)에 대해 글을 적어 보겠습니다. 해당 악성코드는
파일명:주요도시 시장가격 조사 2023.xlsx
사이즈:35.4 KB
MD5:28d25a4021536394fd890c4b6d9b5551
SHA-1:39c97ca820f31e7903ccb190fee02035ffdb37b9
SHA-256: 44365e0bcd77f1721d061dc03dd3c1728ad36671ad294ec7b2cf088b1bbefd23
2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT 37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행합니다.
예전에는 이태원 참사를 악용한 CVE-2022-41128 공격을 사용하고 있습니다.
일단 해당 엑셀 파일을 열어 보면 다음과 같이 북한 주요 도시 시장가격 조사라고 돼 있는 파일이 열리고 해당 파일을 실행하면 ActiveX 컨트롤 콘텐츠 사용 경고창이 표시되어서 보안 경고 ActiveX 컨트롤 콘텐츠 사용을 할 수 없도록 설정했습니다. 콘텐츠 사용이라는 것을 눌러주면 C2 도메인에 접속하게 돼 있으며
주요도시 시장가격 조사 2023\xl\activeX1.bin 에 보면 정확하게 ActiveX 컨트롤 콘텐츠 에 C2 도메인에 포함된 것을 Cerbero Suite Advanced,HxD 프로그램으로 보면 확인을 할 수가 있습니다.
이번에는 Power Shell 스크립트가 아닌 ActiveX 컨트롤를 사용을 하는 것이 눈에 띄면
2023-12-29 04:24:29 UTC 기준 바이러스토탈에서 탐지하는 보안 업체들은 다음과 같습니다.
AhnLab-V3:Downloader/MSOffice.Malurl
이며 일단 다른 보안 업체들 Avira(아비라),Emsisoft,ESET(이셋),Symantec(시만텍)등에는 신고는 했습니다.
아무튼, 북한 관련 종사하시는 분들을 타켓으로 하는 것으로 추측되며 일단 V3, 알약에서만 탐지되고 있어서 기타 보안 프로그램 사용을 하시는 분들은 조심하시는 것을 추천하면 개인적으로 신고는 했지만 조금은 시간이 걸릴 것입니다.
악성코드 관련 사이트
http://app(.)documentoffice(.)club/salt_view_doc_words?user=H11I75PFF0(Z)G53NDG00H64OE'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 인도를 겨냥한 공격 추정되는 Crimson RAT-122.docm(2023.10.03) (0) | 2024.01.12 |
|---|---|
| 윈도우 10,윈도우 11 KB5034122,KB5034123 보안 업데이트 (0) | 2024.01.11 |
| 마이크로소프트 기술 지원 사칭 사기(サポート 詐欺) 사칭 스캠 사이트-highelp(.)azurewebsites(.)net/Win08ShDMeEr0887(2023.12.20) (0) | 2024.01.09 |
| Slay the Spire(슬레이 더 스파이어) 인디 전략 게임의 팬 확장 프로그램 Downfall 악용한 악성코드-UnityLibManager.exe.dis.exe(2023.12.28) (0) | 2024.01.05 |
| 이셋 모바일 시큐리트 악성코드 의심 파일 신고 방법 (0) | 2024.01.03 |
| NjRat .NET Trojan 악성코드 분석-file.exe(2023.12.13) (0) | 2024.01.01 |
| 모바일 부고 알림 부모님 별세를 악용한 스미싱 악성코드-삼가 부고장.apk(2023.12.12) (0) | 2023.12.29 |
| 한화건설 캐나다 온타리오주 프로젝트 견적 요청 사칭 피싱 메일-kim(.)park_44@xkdgruop(.)com(2023.12.11) (0) | 2023.12.28 |
