본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

북 해킹조직, 대용량 악성LNK 바카라사이트 추천을 이용한 공격 진행중!

보안공지 2023-05-18

바카라사이트 추천


지난 2월 북한의 지원을 받는 해킹조직의 공정거래위원회 사칭메일로 유포하는 대용량 LNK바카라사이트 추천에 이어 최근 국내의 정치적, 사회적 이슈를 이용한 대용량 LNK바카라사이트 추천 공격정황 등 LNK 바카라사이트 추천을 악용한 대규모 공격 활동이 포착되어 사용자들의 주의가 필요합니다.

(▶ 참고 :)

공격자들은 한미정상회담의 워싱턴선언과 비정기 세무조사 등 사용자들이 관심을 가질만한 주제로 바카라사이트 추천명을 설정하였으며,바카라사이트 추천내부에 의미없는 더미값을 포함시켜 용량을 증가시킨 대용량 LNK바카라사이트 추천을 사용하였다는 특징이 있습니다.

'워싱턴선언, 북핵 위협 대응에 얼마나 도움이 될까.LNK' 바카라사이트 추천의 경우 용량이 50MB로,내부에 무의미한 0x2019값들이 포함되어 있습니다.

바카라사이트 추천
[그림 1] 악성LNK 바카라사이트 추천 속성

바카라사이트 추천
[그림 2] LNK 바카라사이트 추천 내부


사용자가 바로가기(LNK)를 클릭하면, PowerShell 스크립트가 실행되며 '워싱턴선언, 북핵 위협 대응에 얼마나 도움이 될까.hwp' 이름의 디코이 바카라사이트 추천과 함께 백그라운드에서는 추가 ShellCode를 내려받는 기능을 수행하는'230509.bat' 바카라사이트 추천이 자동실행 됩니다.

[그림 3] 실행되는 PowerShell 스크립트 화면

공격자는 HWP 디코이 바카라사이트 추천 내용에 현재 실제로 운영 중인 온라인 저널리즘 매체의 블로그 포스팅을 그대로 사용하여 사용자들의 의구심을 낮추는 치밀함을 보였습니다.



[그림 4] HWP 디코이 바카라사이트 추천(좌) 및 실제 미디어 칼럼(우)

[그림 5] 230509.bat


'비정기 세무조사 통지서.hwp.lnk' 바카라사이트 추천은 '22귀속_부가가치세_면세사업자_사업장_현황신고..rar' 압축바카라사이트 추천 내 정상 HWP 2개와 함께 유포되었으며, 해당 LNK 바카라사이트 추천 역시 0x90 더미값이 다수 포함된 약 1GB의 대용량 바카라사이트 추천입니다.

[그림 6] RAR 바카라사이트 추천

[그림 7] 악성LNK 바카라사이트 추천 속성

사용자가 바카라사이트 추천명에 속아 해당 LNK를 실행하는 경우, '비정기 세무조사 통지서.hwp' 디코이 바카라사이트 추천과 함께 악성정보탈취 및 다운로드 스크립트가 실행됩니다.

[그림 8] LNK 바카라사이트 추천에서 디코이 바카라사이트 추천 및 페이로드 실행 코드

[그림 9] Decoy 한글문서 바카라사이트 추천

[그림 10] 정보 수집 및 업로드 스크립트

[그림 11] 추가 페이로드 다운로드 스크립트

최근 대용량 LNK 바카라사이트 추천을 이용한 북 해킹 조직의 공격이 증가하고 있으며, 흥미를 유발하는 바카라사이트 추천명을 설정하여 사용자들의 클릭을 유도합니다.

사용자 여러분들께서는 바카라사이트 추천 실행 전 바카라사이트 추천 확장자를 확인하고, 용량이 비정상적으로 큰 LNK바카라사이트 추천은 악성바카라사이트 추천의 가능성을 의심하고 주의를 해야할 필요가 있습니다.

현재 알약에서는 해당 악성바카라사이트 추천들을Trojan.Agent.LNK.Gen, Trojan.PowerShell.Agent등으로 탐지하고 있습니다.


IoC

02685c2ffc30c55667076cfb01033060
445e7fd6bb684420d6b8523fe0c55228
2e0b68286c2673b12406c98c4c13b739
278184b974d5232934ebf3f9ca9be5c8
2b2310574eb43608eec2540782e08b35
58d726099fdd9fdb8c34e96e13473aa4

hxxps://api.onedrive[.]com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRmTWdoZExudm9zdUExcHc_ZT1scUoweWU/root/content

hxxp://centhosting[.]net/list.php
hxxp://centhosting[.]net/upload.php