오늘은 북한 해킹 단체인 김수키(Kimsuky) 에서 웨딩 사진 보정 업체를 감염을 시키고 나서 웨딩 사진 보정 업체를 통해서 일반인들 결혼 사진을 가지고 해당 고객에서 보내는 방식으로 일반인을 감염을 시키는 방법으로 추정되는 공격 방식에 대해 알아보겠습니다.
ファイル名:1740489988221-19.jse
サイズ:6 MB
MD5:089ae8b91642bc246bb0420cc811c5f3
SHA-1:ed6af55654c09b9d0707b43cb9b2e58721177b1e
SHA-256:5178c640e7694464b73155e0a0fc2493041c48397f3d4e705b79669bced397db
일단 바로 실행을 하지 않고 노트패드++ 를 통해서 악성코드 자바스크립트를 난독화 돼 있는 것을 해제하면 다음과 같습니다.
분석
JScript(WScript 기반)
Base64->바이너리 드롭->certutil로 디코딩->regsvr32로딩
1. 기본 변수 및 객체 생성
1740489988221-19.jpg :첫 번째 드롭 파일 이름 악성코드 실행 시 보여주는 사진
axgvhr9.eq6W:두 번째 스테이지(인코딩된 파일) 이름
h7mCrlk.kGkT:certutil로 디코드 된 최종 페이로드 파일 이름
MSXML.DOMDocument :
dataType = bin.base64 속임수로 Base64 디코더
Scripting.FileSystemObject:파일 존재 여부 체크, 경로 처리
WScript.Shell:Run()으로 PE, 명령 실행
GetSpecialFolder(0) = 보통 C:\Users\<user>\Desktop 또는 C:\Windows\...가 아니라,
VBScript/JScript 기준 0은 Windows 폴더 (C:\Windows)로 반환
여기에 ProgramData 를 붙여서 C:\ProgramData 경로 사용
모든 드롭 파일은 C:\ProgramData 아래에 생성
2.1차 Base64->바이너리->jpg 파일 드롭
g4f5INyd9VC 는 이전 단계에서 정의된 Base64 문자열일 것
dataType = bin.base64 + .text =(base64)->
nodeTypedValue 에 디코딩된 raw 바이너리가 들어가는 패턴
ADODB.Stream를 이용한 바이너리 쓰기
최종 경로
C:\ProgramData\1740489988221-19.jpg
SaveToFile(..., 2) :파일 존재 시 덮어쓰기
파일 존재하면 직접 실행 시도
확장자가 .jpg 인것을 실행하는 점이 중요 포인트
2.2차 Base64->eq6W 파일->certutil로 최종 페이로드 디코딩
bwuTcz8f0KV:또 다른 Base64 문자열
bin.base64->nodeTypedValue 패턴으로 디코딩
C:\ProgramData\axgvhr9.eq6W 로 저장
powershell.exe -windowstyle hidden certutil -decode <입력 파일> <출력 파일>
정리하면
PowerShell 호출
-windowstyle hidden :창 숨김
PowerShell 내부에서 certutil.exe 실행
certutil -decode C:\ProgramData\axgvhr9.eq6W C:\ProgramData\h7mCrlk.kGkT
axgvhr9.eq6W는 Base64 포맷이고 h7mCrlk.kGkT는 디코딩된 바이너리(DLL/스크립트 등)로 최종 페이로드
Living-off-the-land (LOLBin) 패턴
certutil.exe -decode->Base64 디코더로 악용
AV(백신프로그램) 우회 목적 (직접 디코더 구현 대신 OS 기본 도구 사용)
3.최종 페이로드 로딩: regsvr32 악용
PowerShell을 다시 사용 -windowstyle hidden
regsvr32.exe 호출
regsvr32.exe /s /n /i:<param> <파일>
/s:silent
/n :DllRegisterServer 호출하지 않음
/i:vnfjejudif234:DllInstall(TRUE, vnfjejudif234) 호출 시 파라미터로 전달
<파일>:C:\ProgramData\h7mCrlk.kGkT
h7mCrlk.kGkT 는 COM DLL,Scriptlet, 혹은 특수 로더 역할
regsvr32를 이용해 DLL의 DllInstall 진입점 실행->악성 페이로드 로딩
주요 파일, 경로 IOC
C:\ProgramData\1740489988221-19.jpg
C:\ProgramData\axgvhr9.eq6W
C:\ProgramData\h7mCrlk.kGkT
프로세스 체인:
wscript.exe or cscript.exe->powershell.exe (숨김)->certutil.exe
다시 powershell.exe (숨김)->regsvr32.exe
이며 생성된 파일은 검은 웨딩 드레스를 입은 신부 사진 그리고 신랑 사진 그리고 해당 악성코드 생성한 파일에서 혹시나 해서 exif를 보았는데 소니 ILCE-7M4/ILCE-7M4K,렌즈 교환식 카메라를 사용하고 있다는 것을 확인할 수가 있었습니다.
해당 김수키(Kimsuky)가 웨딩 업체를 털었거나 웨딩 사진 보정 업체를 털어서 해당 개인정보를 바탕으로 이메일 악성코드가 포함된 파일을 해당 분들에게 보내고 그것을 웨딩사진 또는 웨딩 사진 보정이 된 것으로 해서 그냥 실행을 하면 사진은 보여 주고 악성 행위를 하는 것을 판단됩니다. 그리고 EXIF 를 통해서 확보할 수가 있는 정보는 2024.11.17 15:22분에 찍은 사진을 가지고 장난을 쳤다는 것을 확인할 수가 있습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 국세청 사칭 김수키(Kimsuky) 에서 만든 피싱 메일 20251121_197262 새로운 고지서가 도착 했어요.분석 (0) | 2025.11.28 |
|---|---|
| 불법음원 MP3 파일로 유포 되는 악성코드-Gosisong_ada.mp3 (0) | 2025.11.26 |
| 김수키(Kimsuky) 이메일 로 유포 하는 악성코드-건강검진 안내서.alz (7) | 2025.11.24 |
| 북한 김수키(Kimsuky) 에서 만든 악성코드-KB국민은행 거래내역 제출 안내서.hwp.lnk (0) | 2025.11.21 |
| 삼성 갤럭시 22 시리즈~갤럭시 24 시리즈 스마트폰 정보를 노리는 LANDFALL 스파이웨어 (0) | 2025.11.18 |
| 카카오톡 유포된 북한 해킹 단체 코니(Konni) 스마트폰 공격을 위한 악성코드-스트레스클리어 (0) | 2025.11.17 |
| 파이어폭스 145.0 보안 업데이트 및 기능 업데이트 (0) | 2025.11.16 |
| 윈도우 11 윈도우 10 KB5068861,KB5068865,KB5068781 누적 업데이트 (0) | 2025.11.13 |
