DropBox를 이용한 Kimsuky 악성코드
Contents
DropBox 를 이용한 악성코드
(Kimsuky)
( Document No : DT-20240322-001 )
www.hauri.co.kr
악성코드 상세 분석 보고서
하우리
ㅇ 분석 개요
작년 12 월부터 현재까지 북한의 해킹 그룹 Kimsuky 에서 안보 관련 및 가상화폐 투자자들
대상으로 DropBox 를 사용한 바로가기 파일(.lnk) 악성코드를 유포하고 있는 것이 발견됐으며
키로거, 브라우저 로그인 정보 탈취 등 정보 탈취에 중점을 두고 있다.
ㅇ 악성코드 순서도
페이지 2 / 14
악성코드 상세 분석 보고서
하우리
1. 트레이딩 스파르타코스 강의안-100 불남(2 차).pdf.lnk
(MD5 : FCDCC6C56AE43F7A78413CC5204E9314, SIZE : 1,104,286)
개요 : PowerShell 코드를 사용해 DropBox 에 접속하여 암호화된 악성코드들을 읽어와 실행
ViRobot
LNK.S.Downloader.1104286
상세분석 :
(1) 바로가기 파일(.lnk) 실행 시 PowerShell 코드가 실행된다.
[그림 1] 바로가기 파일(.lnk)에 작성된 PowerShell 코드
(2) 실행된 PowerShell 코드는 Refresh Token 을 사용해 공격자의 DropBox 에 접근할 수 있는
Access Token 을 획득한다.
[그림 2] Access Token 획득 코드
(3) 획득한 Access Token 을 사용하여 공격자 DropBox 의 “/step1/ps.bin” 경로에 존재하는
파일을 읽어온다.
[그림 3] /step1/ps.bin 다운로드
페이지 3 / 14
악성코드 상세 분석 보고서
하우리
(4) 읽어온 “/step1/ps.bin” 파일은 AES 방식으로 복호화한다.
[그림 4] 복호화 코드
(5) 복호화된 “/step1/ps.bin” 파일은 iex 함수로 실행시킨다.
[그림 …
(Kimsuky)
( Document No : DT-20240322-001 )
www.hauri.co.kr
악성코드 상세 분석 보고서
하우리
ㅇ 분석 개요
작년 12 월부터 현재까지 북한의 해킹 그룹 Kimsuky 에서 안보 관련 및 가상화폐 투자자들
대상으로 DropBox 를 사용한 바로가기 파일(.lnk) 악성코드를 유포하고 있는 것이 발견됐으며
키로거, 브라우저 로그인 정보 탈취 등 정보 탈취에 중점을 두고 있다.
ㅇ 악성코드 순서도
페이지 2 / 14
악성코드 상세 분석 보고서
하우리
1. 트레이딩 스파르타코스 강의안-100 불남(2 차).pdf.lnk
(MD5 : FCDCC6C56AE43F7A78413CC5204E9314, SIZE : 1,104,286)
개요 : PowerShell 코드를 사용해 DropBox 에 접속하여 암호화된 악성코드들을 읽어와 실행
ViRobot
LNK.S.Downloader.1104286
상세분석 :
(1) 바로가기 파일(.lnk) 실행 시 PowerShell 코드가 실행된다.
[그림 1] 바로가기 파일(.lnk)에 작성된 PowerShell 코드
(2) 실행된 PowerShell 코드는 Refresh Token 을 사용해 공격자의 DropBox 에 접근할 수 있는
Access Token 을 획득한다.
[그림 2] Access Token 획득 코드
(3) 획득한 Access Token 을 사용하여 공격자 DropBox 의 “/step1/ps.bin” 경로에 존재하는
파일을 읽어온다.
[그림 3] /step1/ps.bin 다운로드
페이지 3 / 14
악성코드 상세 분석 보고서
하우리
(4) 읽어온 “/step1/ps.bin” 파일은 AES 방식으로 복호화한다.
[그림 4] 복호화 코드
(5) 복호화된 “/step1/ps.bin” 파일은 iex 함수로 실행시킨다.
[그림 …
IoC
1E66AC680D0EDFE18D97B89E46C7E82E
32519B46B55792084240F850E0C94298
886535BBE925890A01F49F49F49FEE40
C47675700B20537374C86E7A5426F848
C700195F61635B9A6FB1EE4359B91940
EB08AB3854168C834AB154FACFE695A3
FCDCC6C56AE43F7A78413CC5204E9314
https://hyojadong.kr/js/slick/doc/1.pdf
32519B46B55792084240F850E0C94298
886535BBE925890A01F49F49F49FEE40
C47675700B20537374C86E7A5426F848
C700195F61635B9A6FB1EE4359B91940
EB08AB3854168C834AB154FACFE695A3
FCDCC6C56AE43F7A78413CC5204E9314
https://hyojadong.kr/js/slick/doc/1.pdf