Kimsuky VBS RAT 악성코드 분석 보고서
Contents
[누리랩 Tech] Kimsuky VBS RAT 악성코드 분석 보고서
프로파일
누리랩 ・ 2시간 전
URL 복사 이웃추가
본문 기타 기능
최근 7월 31일 kimsuky가 한국 대학 교수진을 대상으로 한 공격에서 사용된 BabyShark 악성코드의 페이로드로 추정되는 VBS RAT 스크립트가 발견되었다.
개요
샘플 정보
해시
MD5
8c44750ad8bbca79db2973c24e87bb92
SHA-256
7160b07ddebad54e15efc03d6e1cdc004613aea7e799da748e8542a74bd830ce
SHA-1
fc840ba6890b63ff57d788e4ed42ca82a8b4eb7a
발견 날짜
2024-07-31 05:34:48 UTC
파일 타입
VBA
파일 크기
40 KB
요약
유포 과정
이 스크립트가 피해자를 감염시킨 과정은 다음과 같이 추정된다.
1. Gmail, Daum 메일 계정 상대로 SendMail (변경된 PHPMailer) 도구를 이용해 스피어피싱 이메일 전송
2. 이메일 내용에는 네이버 로그인 또는 대학 포털 로그인을 사칭한 링크
3. 링크를 따르면 로그인 정보 유도 및 탈취
4. 그 후 구글 드라이브에 호스팅된 아산정책연구원의 8월 포럼 관련 PDF로 리디렉션 되서 다운로드 유도
5. PDF를 열면 BabyShark 실행해서 현재 샘플 드랍
상세 분석
분석한 결과, 이 스크립트의 행위는 다음과 같다.
1. Base64 인코딩 된 스크립트 디코딩
사용하는 저장 경로 “C:\Users\[사용자]\AppData\Roaming\Microsoft\Paint”가 없으면 생성한다.
[그림 1] 필요 폴더 생성 코드
그리고 ps와 vs를 디코딩한다.
[그림 2] 인코딩 된 스트링
1.1 ps
디코딩 후 “C:\Users\[사용자]\AppData\Roaming\default.txt”에 저장한다.
[그림 3] default.txt에 쓰는 코드
내용을 “C:\Users\[사용자]\AppData\Roaming\Microsoft\Paint\Paint.ps1”에 저장한다.
[그림 4] Paint.ps1에 옮기는 코드
1.2 vs
vs도 …
프로파일
누리랩 ・ 2시간 전
URL 복사 이웃추가
본문 기타 기능
최근 7월 31일 kimsuky가 한국 대학 교수진을 대상으로 한 공격에서 사용된 BabyShark 악성코드의 페이로드로 추정되는 VBS RAT 스크립트가 발견되었다.
개요
샘플 정보
해시
MD5
8c44750ad8bbca79db2973c24e87bb92
SHA-256
7160b07ddebad54e15efc03d6e1cdc004613aea7e799da748e8542a74bd830ce
SHA-1
fc840ba6890b63ff57d788e4ed42ca82a8b4eb7a
발견 날짜
2024-07-31 05:34:48 UTC
파일 타입
VBA
파일 크기
40 KB
요약
유포 과정
이 스크립트가 피해자를 감염시킨 과정은 다음과 같이 추정된다.
1. Gmail, Daum 메일 계정 상대로 SendMail (변경된 PHPMailer) 도구를 이용해 스피어피싱 이메일 전송
2. 이메일 내용에는 네이버 로그인 또는 대학 포털 로그인을 사칭한 링크
3. 링크를 따르면 로그인 정보 유도 및 탈취
4. 그 후 구글 드라이브에 호스팅된 아산정책연구원의 8월 포럼 관련 PDF로 리디렉션 되서 다운로드 유도
5. PDF를 열면 BabyShark 실행해서 현재 샘플 드랍
상세 분석
분석한 결과, 이 스크립트의 행위는 다음과 같다.
1. Base64 인코딩 된 스크립트 디코딩
사용하는 저장 경로 “C:\Users\[사용자]\AppData\Roaming\Microsoft\Paint”가 없으면 생성한다.
[그림 1] 필요 폴더 생성 코드
그리고 ps와 vs를 디코딩한다.
[그림 2] 인코딩 된 스트링
1.1 ps
디코딩 후 “C:\Users\[사용자]\AppData\Roaming\default.txt”에 저장한다.
[그림 3] default.txt에 쓰는 코드
내용을 “C:\Users\[사용자]\AppData\Roaming\Microsoft\Paint\Paint.ps1”에 저장한다.
[그림 4] Paint.ps1에 옮기는 코드
1.2 vs
vs도 …
IoC
5.61.59.53
8c44750ad8bbca79db2973c24e87bb92
fc840ba6890b63ff57d788e4ed42ca82a8b4eb7a
7160b07ddebad54e15efc03d6e1cdc004613aea7e799da748e8542a74bd830ce
2179e1c9831bec7c15f0be0af2537fe3
91c86a4350938b129cfffea60502e1bd3754884f
800e14f182c21af59b0fc777bdfe9f6f617e3e04dae38e5d5e27cff2051cffe4
58d97883bc932dae82b3e14de3cceb57
ed51b6bf6b004c120cb677a016d6ce438a8ac725
45125b56767b5bd4d93b5e303b3a2b9c02222050457c393b55958baba5bdbdfe
8c44750ad8bbca79db2973c24e87bb92
fc840ba6890b63ff57d788e4ed42ca82a8b4eb7a
7160b07ddebad54e15efc03d6e1cdc004613aea7e799da748e8542a74bd830ce
2179e1c9831bec7c15f0be0af2537fe3
91c86a4350938b129cfffea60502e1bd3754884f
800e14f182c21af59b0fc777bdfe9f6f617e3e04dae38e5d5e27cff2051cffe4
58d97883bc932dae82b3e14de3cceb57
ed51b6bf6b004c120cb677a016d6ce438a8ac725
45125b56767b5bd4d93b5e303b3a2b9c02222050457c393b55958baba5bdbdfe