북 해킹조직, 대용량 악성LNK 카지노 꽁 머니을 이용한 공격 진행중!

지난 2월 북한의 지원을 받는 해킹조직의 공정거래위원회 사칭메일로 유포하는 대용량 LNK카지노 꽁 머니에 이어 최근 국내의 정치적, 사회적 이슈를 이용한 대용량 LNK카지노 꽁 머니 공격정황 등 LNK 카지노 꽁 머니을 악용한 대규모 공격 활동이 포착되어 사용자들의 주의가 필요합니다.

(▶ 참고 :)

공격자들은 한미정상회담의 워싱턴선언과 비정기 세무조사 등 사용자들이 관심을 가질만한 주제로 카지노 꽁 머니명을 설정하였으며,카지노 꽁 머니내부에 의미없는 더미값을 포함시켜 용량을 증가시킨 대용량 LNK카지노 꽁 머니을 사용하였다는 특징이 있습니다.

'워싱턴선언, 북핵 위협 대응에 얼마나 도움이 될까.LNK' 카지노 꽁 머니의 경우 용량이 50MB로,내부에 무의미한 0x2019값들이 포함되어 있습니다.

사용자가 바로가기(LNK)를 클릭하면, PowerShell 스크립트가 실행되며 '워싱턴선언, 북핵 위협 대응에 얼마나 도움이 될까.hwp' 이름의 디코이 카지노 꽁 머니과 함께 백그라운드에서는 추가 ShellCode를 내려받는 기능을 수행하는'230509.bat' 카지노 꽁 머니이 자동실행 됩니다.

공격자는 HWP 디코이 카지노 꽁 머니 내용에 현재 실제로 운영 중인 온라인 저널리즘 매체의 블로그 포스팅을 그대로 사용하여 사용자들의 의구심을 낮추는 치밀함을 보였습니다.

'비정기 세무조사 통지서.hwp.lnk' 카지노 꽁 머니은 '22귀속_부가가치세_면세사업자_사업장_현황신고..rar' 압축카지노 꽁 머니 내 정상 HWP 2개와 함께 유포되었으며, 해당 LNK 카지노 꽁 머니 역시 0x90 더미값이 다수 포함된 약 1GB의 대용량 카지노 꽁 머니입니다.

사용자가 카지노 꽁 머니명에 속아 해당 LNK를 실행하는 경우, '비정기 세무조사 통지서.hwp' 디코이 카지노 꽁 머니과 함께 악성정보탈취 및 다운로드 스크립트가 실행됩니다.

최근 대용량 LNK 카지노 꽁 머니을 이용한 북 해킹 조직의 공격이 증가하고 있으며, 흥미를 유발하는 카지노 꽁 머니명을 설정하여 사용자들의 클릭을 유도합니다.

사용자 여러분들께서는 카지노 꽁 머니 실행 전 카지노 꽁 머니 확장자를 확인하고, 용량이 비정상적으로 큰 LNK카지노 꽁 머니은 악성카지노 꽁 머니의 가능성을 의심하고 주의를 해야할 필요가 있습니다.

현재 알약에서는 해당 악성카지노 꽁 머니들을Trojan.Agent.LNK.Gen, Trojan.PowerShell.Agent등으로 탐지하고 있습니다.

IoC

02685c2ffc30c55667076cfb01033060
445e7fd6bb684420d6b8523fe0c55228
2e0b68286c2673b12406c98c4c13b739
278184b974d5232934ebf3f9ca9be5c8
2b2310574eb43608eec2540782e08b35
58d726099fdd9fdb8c34e96e13473aa4

hxxps://api.onedrive[.]com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRmTWdoZExudm9zdUExcHc_ZT1scUoweWU/root/content

hxxp://centhosting[.]net/list.php
hxxp://centhosting[.]net/upload.php