성범죄자 고지 정보를 위장한 Kimsuky 공격
Contents
1. 개요
2025년 7월 말, 바로 가기 파일을 활용한 조직적인 APT 공격 행위가 발견되었으며, 분석 결과 북한 Kimsuky 조직에 의한 공격으로 판단됩니다. Kimsuky는 북한과 연계된 것으로 추정되는 APT(Advanced Persistent Threat) 그룹으로, 주로 정보 수집과 관련된 각종 스파이 활동을 수행합니다.
악성 유포·동작 개요
공격자는 압축 파일에 숨긴 바로가기를 통해 mshta.exe
를 실행하여 원격에서 암호화된 추가 페이로드를 받아 복호화·실행합니다. 이후 시스템에서 민감한 파일·키·브라우저 확장·키 입력 등을 수집하여 암호화한 뒤 C2로 전송하며, C2로부터 명령을 받아 추가 악성 행위를 수행합니다.
유포 방식
- 공격자는
성범죄자 신상정보 고지.zip
,국세 고지서.pdf.zip
,sexoffender.zip
등 디코이 압축파일을 배포합니다. - 압축을 해제하면 암호가 설정된 디코이 문서들과 함께, 텍스트로 위장한 바로가기 파일
문서암호.txt.lnk
가 존재합니다.
사용자 실행 시 동작 흐름
- 사용자가
문서암호.txt.lnk
(또는 포함된 바로가기)를 실행하면mshta.exe
가 C2 서버에 접속하여 추가 스크립트를 실행합니다. - 전면에는 문서 암호를 담은
password.txt
를 띄워 사용자를 안심시킵니다. - 동시에 AES로 암호화된 추가 데이터 파일
pipe.log
를 수신하고, 하드코딩된 AES 키·IV로 해당 파일을 복호화합니다. - 복호화된 데이터는 ZIP 파일이며, 내부에
1.log
,1.ps1
,1.vbs
,2.log
등 총 4개의 파일이 존재합니다. - 추가적인 PowerShell 스크립트가 실행됩니다.
수집·전송 활동
- 실행된 스크립트는 다음 항목들을 수집한 …
2025년 7월 말, 바로 가기 파일을 활용한 조직적인 APT 공격 행위가 발견되었으며, 분석 결과 북한 Kimsuky 조직에 의한 공격으로 판단됩니다. Kimsuky는 북한과 연계된 것으로 추정되는 APT(Advanced Persistent Threat) 그룹으로, 주로 정보 수집과 관련된 각종 스파이 활동을 수행합니다.
악성 유포·동작 개요
공격자는 압축 파일에 숨긴 바로가기를 통해 mshta.exe
를 실행하여 원격에서 암호화된 추가 페이로드를 받아 복호화·실행합니다. 이후 시스템에서 민감한 파일·키·브라우저 확장·키 입력 등을 수집하여 암호화한 뒤 C2로 전송하며, C2로부터 명령을 받아 추가 악성 행위를 수행합니다.
유포 방식
- 공격자는
성범죄자 신상정보 고지.zip
,국세 고지서.pdf.zip
,sexoffender.zip
등 디코이 압축파일을 배포합니다. - 압축을 해제하면 암호가 설정된 디코이 문서들과 함께, 텍스트로 위장한 바로가기 파일
문서암호.txt.lnk
가 존재합니다.
사용자 실행 시 동작 흐름
- 사용자가
문서암호.txt.lnk
(또는 포함된 바로가기)를 실행하면mshta.exe
가 C2 서버에 접속하여 추가 스크립트를 실행합니다. - 전면에는 문서 암호를 담은
password.txt
를 띄워 사용자를 안심시킵니다. - 동시에 AES로 암호화된 추가 데이터 파일
pipe.log
를 수신하고, 하드코딩된 AES 키·IV로 해당 파일을 복호화합니다. - 복호화된 데이터는 ZIP 파일이며, 내부에
1.log
,1.ps1
,1.vbs
,2.log
등 총 4개의 파일이 존재합니다. - 추가적인 PowerShell 스크립트가 실행됩니다.
수집·전송 활동
- 실행된 스크립트는 다음 항목들을 수집한 …
IoC
https://yfews.mailhubsec.com/comm/vpwepi.hta
https://yajxu.mailhubsec.com/
142.11.248.98
acdf153ab1211ebc840a18d2ff2221fb
1a2164d9fea343bd5a5fc31a0849bb6e
373fce7c6fa68ad9afa22bcbf8c15f5d
5852e7911d0df2473d6ed34d1ce56ff7
9debce6651edac2a0e135a5b06f68a88
71a6e029ae3a56a1d5d244cdda0a93e0
425e7f14bfef366725fb806c93a0e94e
851910eb3c05738de97d66078acc32bc
baaa2dd6942f582cd7f684b5ebc447f0
e45606ec936210f3830f29d0e12108c8
444f67d186136d3deaae17a7f27b879e
677e77265c7ba52e825fc62023942213
95b0ee79eda2ea1857bda77aaaa71d92
40e117a35c579a2f17eafaa728abdee3
1230b4160b399b84453fd15ed7a6f1e0
5eb7a909d8e8e3773b2ccc780d8f765a
4593e0baa7e444537730c057b1a465f3
dcb9bcd4971167905a6924c4c2cef12e
172dc997ca6022ec8dff0842e4c7b887
17b2412c1c74db7e83482a544fefacdc
13d89e3f08197920230b521997135a6c
4aea7f8a80c27268bd68077621d69b68
5441d8a79411a261546beb1021cb5052
03794685a12ce0dd7b69e70ced8568f9
https://yajxu.mailhubsec.com/
142.11.248.98
acdf153ab1211ebc840a18d2ff2221fb
1a2164d9fea343bd5a5fc31a0849bb6e
373fce7c6fa68ad9afa22bcbf8c15f5d
5852e7911d0df2473d6ed34d1ce56ff7
9debce6651edac2a0e135a5b06f68a88
71a6e029ae3a56a1d5d244cdda0a93e0
425e7f14bfef366725fb806c93a0e94e
851910eb3c05738de97d66078acc32bc
baaa2dd6942f582cd7f684b5ebc447f0
e45606ec936210f3830f29d0e12108c8
444f67d186136d3deaae17a7f27b879e
677e77265c7ba52e825fc62023942213
95b0ee79eda2ea1857bda77aaaa71d92
40e117a35c579a2f17eafaa728abdee3
1230b4160b399b84453fd15ed7a6f1e0
5eb7a909d8e8e3773b2ccc780d8f765a
4593e0baa7e444537730c057b1a465f3
dcb9bcd4971167905a6924c4c2cef12e
172dc997ca6022ec8dff0842e4c7b887
17b2412c1c74db7e83482a544fefacdc
13d89e3f08197920230b521997135a6c
4aea7f8a80c27268bd68077621d69b68
5441d8a79411a261546beb1021cb5052
03794685a12ce0dd7b69e70ced8568f9