아동복지 기부금 사칭 악성코드 주의보 김수키(Kimsuky) 소행 분석
Contents
오늘은 북한 해킹 단체 김수키(Kimsuky)에서 기부금 영수증.pdf.lnk(2025.8.18)이라는 제목으로 행복아동복지라는 기부금 이라는 영수증을 보여 주면서 깃헙브를 통해서 악성코드 유포하는 것을 분석을 해보겠습니다.
해시
파일명: 기부금 영수증.lnk
사이즈:21 MB
MD5:3e3e9c0242bef0ff898640f50b7837e8
SHA-1:fe71887782586e351888b90502a5ec763126ed2f
SHA-256:5833392068b7f84ac0b4b1769e4d9ea5f1eed59c67c6926e9c97fa569428bfac
해당 악성코드는 기본적으로 핵심 부분은 Base64 로 인코딩이 돼 있는 것을 확인할 수가 있습니다.
악성코드 분석
PowerShell 스크립트를 실행하는 악성 실행
실행되면 PowerShell이 작동하여 GitHub 에서 2차 페이로드를 내려받고 스케줄러 작업을 등록해 지속성을 확보 수집한 정보를 GitHub 저장소로 업로드 즉 유출하는 과정을 거치게 돼 있습니다.
1.위장
파일 속성에 Type: Hangul Document 라벨과 Goolge Chrome 아이콘을 사용해 문서처럼 보이도록 위장
구글 크롬 브라우저 설치돼 있다고 하면 구글 크롬 아이콘으로 보일 것이며 구글 크롬 이 설치가 되어 있지 않으면 그냥 아이콘이 없을 것입니다.
2.1단계: 드로퍼 역할
LNK 실행 시 PowerShell 이 동작->내부에 포함된 Base64 을 디코딩
해독된 내용(2차 스크립트)을 %TEMP%\zgbwe4rt.ps1 에 저장
powershell -windowstyle hidden -ExecutionPolicy Bypass %TEMP%\zgbwe4rt(.)ps1 실행->숨겨진 상태로 2번째 단계로 진행
3.2단계:실제 악성 스크립트
GitHub API 및 raw(.)githubusercontent(.)com을 호출
헤더에 Authorization:token (토큰) 포함->공격자가 발급한 GitHub Personal Access Token(PAT) 사용
GitHub 저장소에서 추가 악성 페이로드 다운로드 후 실행
4.지속성 확보
Register-ScheduledTask 를 사용하여 숨겨진 …
해시
파일명: 기부금 영수증.lnk
사이즈:21 MB
MD5:3e3e9c0242bef0ff898640f50b7837e8
SHA-1:fe71887782586e351888b90502a5ec763126ed2f
SHA-256:5833392068b7f84ac0b4b1769e4d9ea5f1eed59c67c6926e9c97fa569428bfac
해당 악성코드는 기본적으로 핵심 부분은 Base64 로 인코딩이 돼 있는 것을 확인할 수가 있습니다.
악성코드 분석
PowerShell 스크립트를 실행하는 악성 실행
실행되면 PowerShell이 작동하여 GitHub 에서 2차 페이로드를 내려받고 스케줄러 작업을 등록해 지속성을 확보 수집한 정보를 GitHub 저장소로 업로드 즉 유출하는 과정을 거치게 돼 있습니다.
1.위장
파일 속성에 Type: Hangul Document 라벨과 Goolge Chrome 아이콘을 사용해 문서처럼 보이도록 위장
구글 크롬 브라우저 설치돼 있다고 하면 구글 크롬 아이콘으로 보일 것이며 구글 크롬 이 설치가 되어 있지 않으면 그냥 아이콘이 없을 것입니다.
2.1단계: 드로퍼 역할
LNK 실행 시 PowerShell 이 동작->내부에 포함된 Base64 을 디코딩
해독된 내용(2차 스크립트)을 %TEMP%\zgbwe4rt.ps1 에 저장
powershell -windowstyle hidden -ExecutionPolicy Bypass %TEMP%\zgbwe4rt(.)ps1 실행->숨겨진 상태로 2번째 단계로 진행
3.2단계:실제 악성 스크립트
GitHub API 및 raw(.)githubusercontent(.)com을 호출
헤더에 Authorization:token (토큰) 포함->공격자가 발급한 GitHub Personal Access Token(PAT) 사용
GitHub 저장소에서 추가 악성 페이로드 다운로드 후 실행
4.지속성 확보
Register-ScheduledTask 를 사용하여 숨겨진 …
IoC
fe71887782586e351888b90502a5ec763126ed2f
3e3e9c0242bef0ff898640f50b7837e8
5833392068b7f84ac0b4b1769e4d9ea5f1eed59c67c6926e9c97fa569428bfac
3e3e9c0242bef0ff898640f50b7837e8
5833392068b7f84ac0b4b1769e4d9ea5f1eed59c67c6926e9c97fa569428bfac