Kimsuky그룹의 GitHub 기반 악성코드 유포 및 정보 탈취 정황
Contents
Kimsuky그룹의 GitHub 기반 악성코드 유포 및 정보 탈취 정황
2025.09.09
✅ 보고서 제목: Kimsuky그룹의 GitHub 기반 악성코드 유포 및 정보 탈취 정황
✅ 보고서 요약:
- S2W의 위협 연구 및 인텔리전스 센터 TALON은 최근 북한 배후 APT 그룹인 Kimsuky 그룹이 GitHub 레포지토리를 지속적으로 악용하고 있는 정황을 포착하고, 이에 대한 분석을 진행하였습니다.
- 공격자는 악성 LNK 파일을 통해 GitHub 레포지토리에서 추가 악성 스크립트를 다운로드 및 실행하였습니다.
- 공격자는 해당 레포지토리에 접근하기 위해 GitHub Private Token 값을 하드코딩하여 사용하였습니다.
- 추가로 다운로드된 PowerShell 스크립트는 마지막 부팅 시간, 시스템 정보, 프로세스 목록 등의 정보를 수집하여 로그 파일로 기록한 뒤, 이를 공격자의 레포지토리에 업로드하였습니다.
📌 상세분석
1) NTS_Attach.zip
- ZIP 파일 내부에는 전자세금계산서 내용으로 위장한 LNK 파일이 존재합니다.
2) 전자세금계산서.pdf.lnk
- 전자세금계산서 PDF 파일로 위장한 바로가기(LNK) 파일을 실행하면, 인자로 설정된 PowerShell 명령어를 통해 추가 스크립트가 드랍 및 실행됩니다.
3) main.ps1
- 드랍된 main.ps1 파일은 공격자가 사용하는 GitHub의 Private 레포지토리로부터 Decoy 문서와 추가 스크립트 악성코드를 다운로드 받아 실행하는 역할을 수행합니다. 공격자는 특정 레포지토리에 접근하기 위해 Private Token 값을 하드코딩하여 …
2025.09.09
✅ 보고서 제목: Kimsuky그룹의 GitHub 기반 악성코드 유포 및 정보 탈취 정황
✅ 보고서 요약:
- S2W의 위협 연구 및 인텔리전스 센터 TALON은 최근 북한 배후 APT 그룹인 Kimsuky 그룹이 GitHub 레포지토리를 지속적으로 악용하고 있는 정황을 포착하고, 이에 대한 분석을 진행하였습니다.
- 공격자는 악성 LNK 파일을 통해 GitHub 레포지토리에서 추가 악성 스크립트를 다운로드 및 실행하였습니다.
- 공격자는 해당 레포지토리에 접근하기 위해 GitHub Private Token 값을 하드코딩하여 사용하였습니다.
- 추가로 다운로드된 PowerShell 스크립트는 마지막 부팅 시간, 시스템 정보, 프로세스 목록 등의 정보를 수집하여 로그 파일로 기록한 뒤, 이를 공격자의 레포지토리에 업로드하였습니다.
📌 상세분석
1) NTS_Attach.zip
- ZIP 파일 내부에는 전자세금계산서 내용으로 위장한 LNK 파일이 존재합니다.
2) 전자세금계산서.pdf.lnk
- 전자세금계산서 PDF 파일로 위장한 바로가기(LNK) 파일을 실행하면, 인자로 설정된 PowerShell 명령어를 통해 추가 스크립트가 드랍 및 실행됩니다.
3) main.ps1
- 드랍된 main.ps1 파일은 공격자가 사용하는 GitHub의 Private 레포지토리로부터 Decoy 문서와 추가 스크립트 악성코드를 다운로드 받아 실행하는 역할을 수행합니다. 공격자는 특정 레포지토리에 접근하기 위해 Private Token 값을 하드코딩하여 …