북한 김수키(Kimsuky) CJ올리브네트웍스 인증서 악용한 기계연 공격 악성코드-20250428 플x아이 작업계획서 및 작업완료서_기계연 이X화.scr(2025.5.7)
Contents
오늘도 겁나게 존경하지 않는 북한 해킹 단체인 김수키(Kimsuky) 에서 CJ올리브네트웍스 인증서 악용한 기계연 공격 악성코드-20250428 플x아이 작업계획서 및 작업완료서_기계연 이X화.scr(2025.5.7)에 대해서 알아보겠습니다. 일단 개인적으로 공부하는 견해이라서 해당 부분이 미흡할 수가 있습니다.
해당 악성코드는 중국 사이버 보안 업체 레드드립팀(RedDrip Team)은 김수키(Kimsuky) 에서 CJ올리브네트웍스 명의의 디지털 서명이 탈취당해서 발생한 것으로 CJ올리브네트웍스 명의의 디지털 서명이 포함된 악성코드입니다.
인증서 발급자:Sectigo 이며 일단 해당 인증서는 CJ올리브네트웍스 에서 인지한 즉시 폐기 처리했기 때문에 더는 유효 하지 않습니다.
파일명: 20250428 플x아이 작업계획서 및 작업완료서_기계연 이x화.scr
사이즈:6 MB
MD5:7ec88818697623a0130b1de42fa31335
SHA-1:49fd125c5f516be6883404c256d79afa54dd42d7
SHA-256:123aefe0734da130b475bfdad6c3ebe49688569ab8310e71ec5252ec46cb67eb
이며 악성코드 실행이 다운로드 파일 해쉬
파일명:config.dat
사이즈:4 MB
MD5:580d7a5fdf78dd3e720b2ce772dc77e9
SHA-1:df3e07199e8457341dd06dfa5b04d6a9d45b01c1
SHA-256:7047efbd15b20086933a3e41f23252d3f8b049b913b2c05af520a3233368f700
config.dat 파일을 열어보겠습니다.
FUN_18025b15c 내용
void FUN_18025b15c(longlong param_1,undefined8 param_2)
....
uVar5 = (undefined6)((ulonglong)p(a)ram_2 >> 0x10);
uVar4 = (undefined1)((ulonglong)pa(r)am_2 >> 8);
cVar3 = (c(h)ar)param_2;
cVar2 = FUN_1(8)02e2391();
if (in_OF != in_S(F)) {
pcVar1 = (char *)(CO(N)CAT62(uVar5,CONCAT11(uVar4,cVar3)) + -0x127448fc);
*pcVar1 = (*pcVar1 - cV(a)r3) - in_CF;
/* WARNING: Bad instruc(t)ion - Truncating control flow here */
halt_baddata();
}
out(*(undef(i)ned1 *)(u(l)onglong)*(uint *)(param(_)1 + 0(x)6f + un(a)ff_RBP * 2),CO(N)CAT11(u(V)ar4,cVar3));
*(char *)(param_1 (+) 0x54) = *(char *)(param_1 (+) 0(x)54) + cVar2;
/* WARNING: Subroutine does not return */
thunk_FUN_180577285();
}
악성코드 분석
주요 목적: …
해당 악성코드는 중국 사이버 보안 업체 레드드립팀(RedDrip Team)은 김수키(Kimsuky) 에서 CJ올리브네트웍스 명의의 디지털 서명이 탈취당해서 발생한 것으로 CJ올리브네트웍스 명의의 디지털 서명이 포함된 악성코드입니다.
인증서 발급자:Sectigo 이며 일단 해당 인증서는 CJ올리브네트웍스 에서 인지한 즉시 폐기 처리했기 때문에 더는 유효 하지 않습니다.
파일명: 20250428 플x아이 작업계획서 및 작업완료서_기계연 이x화.scr
사이즈:6 MB
MD5:7ec88818697623a0130b1de42fa31335
SHA-1:49fd125c5f516be6883404c256d79afa54dd42d7
SHA-256:123aefe0734da130b475bfdad6c3ebe49688569ab8310e71ec5252ec46cb67eb
이며 악성코드 실행이 다운로드 파일 해쉬
파일명:config.dat
사이즈:4 MB
MD5:580d7a5fdf78dd3e720b2ce772dc77e9
SHA-1:df3e07199e8457341dd06dfa5b04d6a9d45b01c1
SHA-256:7047efbd15b20086933a3e41f23252d3f8b049b913b2c05af520a3233368f700
config.dat 파일을 열어보겠습니다.
FUN_18025b15c 내용
void FUN_18025b15c(longlong param_1,undefined8 param_2)
....
uVar5 = (undefined6)((ulonglong)p(a)ram_2 >> 0x10);
uVar4 = (undefined1)((ulonglong)pa(r)am_2 >> 8);
cVar3 = (c(h)ar)param_2;
cVar2 = FUN_1(8)02e2391();
if (in_OF != in_S(F)) {
pcVar1 = (char *)(CO(N)CAT62(uVar5,CONCAT11(uVar4,cVar3)) + -0x127448fc);
*pcVar1 = (*pcVar1 - cV(a)r3) - in_CF;
/* WARNING: Bad instruc(t)ion - Truncating control flow here */
halt_baddata();
}
out(*(undef(i)ned1 *)(u(l)onglong)*(uint *)(param(_)1 + 0(x)6f + un(a)ff_RBP * 2),CO(N)CAT11(u(V)ar4,cVar3));
*(char *)(param_1 (+) 0x54) = *(char *)(param_1 (+) 0(x)54) + cVar2;
/* WARNING: Subroutine does not return */
thunk_FUN_180577285();
}
악성코드 분석
주요 목적: …
IoC
49fd125c5f516be6883404c256d79afa54dd42d7
123aefe0734da130b475bfdad6c3ebe49688569ab8310e71ec5252ec46cb67eb
580d7a5fdf78dd3e720b2ce772dc77e9
7ec88818697623a0130b1de42fa31335
7047efbd15b20086933a3e41f23252d3f8b049b913b2c05af520a3233368f700
df3e07199e8457341dd06dfa5b04d6a9d45b01c1
123aefe0734da130b475bfdad6c3ebe49688569ab8310e71ec5252ec46cb67eb
580d7a5fdf78dd3e720b2ce772dc77e9
7ec88818697623a0130b1de42fa31335
7047efbd15b20086933a3e41f23252d3f8b049b913b2c05af520a3233368f700
df3e07199e8457341dd06dfa5b04d6a9d45b01c1