건강검진 안내 문서로 위장한 악성코드
Contents
1. 개요
2025년 10월 말, 건강검진 안내 문서로 위장한 JSE 파일이 조직적인 APT 공격에 활용되었으며, 분석 결과 북한 Kimsuky 조직에 의한 공격으로 판단됩니다. Kimsuky는 북한과 연계된 것으로 추정되는 APT(Advanced Persistent Threat) 그룹으로, 주로 정보 수집과 관련된 각종 스파이 활동을 수행합니다.
악성 유포·동작 개요
공격자는 압축 파일에 숨긴 PDF 문서로 위장한 JSE 파일을 통해 실행을 유도하며, 실행 시 WScript.exe
로 난독화된 JavaScript 코드를 실행합니다. 이후 사용자를 안심시키기 위하여 건강검진 안내서.pdf
정상 문서를 실행하지만, 백그라운드에서는 악성 PE 데이터가 rundll32.exe
프로세스를 이용해서 로드됩니다. 로드된 프로세스는 C2서버와 1분 주기로 통신 시도하며, 특정 조건 만족 시 추가 악성 행위를 수행합니다.
2. 상세 분석
2-1. 초기 감염 및 악성 행위
실행 유도
- 압축파일:
건강검진 안내서.alz
실행 트리거
- PDF 문서로 위장한 JSE 파일(
건강검진 안내서.pdf.jse
)이 존재하며, 건강검진 안내 내용 확인을 위해 클릭을 유도 - 실행 시
WScript.exe
프로세스를 통해 난독화된 JavaScript 코드가 실행
사용자 속임 + 추가 데이터 준비
- 화면에는 건강검진 안내 내용의
건강검진 안내서.pdf
정상 문서를 띄워 사용자를 안심시킴 - 백그라운드에서 내장된 데이터
bEyjSIpZvbJpjVv9.a9oc
를 특정 경로에 저장
복호화 및 후속 악성 행위
bEyjSIpZvbJpjVv9.a9oc
는certutil.exe
프로세스를 이용해서 Base64 디코딩을 …
2025년 10월 말, 건강검진 안내 문서로 위장한 JSE 파일이 조직적인 APT 공격에 활용되었으며, 분석 결과 북한 Kimsuky 조직에 의한 공격으로 판단됩니다. Kimsuky는 북한과 연계된 것으로 추정되는 APT(Advanced Persistent Threat) 그룹으로, 주로 정보 수집과 관련된 각종 스파이 활동을 수행합니다.
악성 유포·동작 개요
공격자는 압축 파일에 숨긴 PDF 문서로 위장한 JSE 파일을 통해 실행을 유도하며, 실행 시 WScript.exe
로 난독화된 JavaScript 코드를 실행합니다. 이후 사용자를 안심시키기 위하여 건강검진 안내서.pdf
정상 문서를 실행하지만, 백그라운드에서는 악성 PE 데이터가 rundll32.exe
프로세스를 이용해서 로드됩니다. 로드된 프로세스는 C2서버와 1분 주기로 통신 시도하며, 특정 조건 만족 시 추가 악성 행위를 수행합니다.
2. 상세 분석
2-1. 초기 감염 및 악성 행위
실행 유도
- 압축파일:
건강검진 안내서.alz
실행 트리거
- PDF 문서로 위장한 JSE 파일(
건강검진 안내서.pdf.jse
)이 존재하며, 건강검진 안내 내용 확인을 위해 클릭을 유도 - 실행 시
WScript.exe
프로세스를 통해 난독화된 JavaScript 코드가 실행
사용자 속임 + 추가 데이터 준비
- 화면에는 건강검진 안내 내용의
건강검진 안내서.pdf
정상 문서를 띄워 사용자를 안심시킴 - 백그라운드에서 내장된 데이터
bEyjSIpZvbJpjVv9.a9oc
를 특정 경로에 저장
복호화 및 후속 악성 행위
bEyjSIpZvbJpjVv9.a9oc
는certutil.exe
프로세스를 이용해서 Base64 디코딩을 …
IoC
http://load.samework.o-r.kr/index.php
http://load.rwbcode.com/index.php
162.220.11.202
5f5f868d339aeb58c613fe7eb55e5432
903cec93146327414cbc49068c524292
7d994b591c2d4fafeb3e71278229566e
d02be241dda3d4027f6fbd84ac015ca8
http://load.rwbcode.com/index.php
162.220.11.202
5f5f868d339aeb58c613fe7eb55e5432
903cec93146327414cbc49068c524292
7d994b591c2d4fafeb3e71278229566e
d02be241dda3d4027f6fbd84ac015ca8