김수키(Kimsuky) 미국 국가 안보 전략 사칭 악성코드-2025 National Security Strategy of the United States of America.lnk

오늘은 북한 해킹 단체인 김수키(Kimsuky)에서 만든 악성코드인 미국 국가 안보 전략 사칭 악성코드-2025 National Security Strategy of the United States of America.lnk에 대해 글어 적어보겠습니다.
ファイル名:2025 National Security Strategy of the United States of America.lnk.lnk
サイズ: 1 MB
MD5:bc32c04f49722d20c5a9712eac466377
SHA-1:15697b80b0fd905dc3d65e06007b2a75bf33a8bb
SHA-256:b16fb6c2d492c7ae0f909dd7ed1b2b53e291710710b52f7b7333b546f5f00067
해당 악성코드는 기본적으로 PowerShell 코드로 돼 있으며 Base64로 인코딩된 것이 특징입니다.

악성코드 분석

1.Base64 디코딩+로컬 드랍퍼(dropper)
디코딩된 내용
%TEMP%\check.ps1 파일로 저장
바로 숨김 창으로 실행됨
2.check.ps1
check.ps1 GitHub에서 악성 코드다운로드
파일 다운로드:
hxxps://raw(.)githubusercontent(.)com/pandor(a)0009/wiwin1/2/main/pofvbmjbdxer5uutgy89(.)pdf

파일 이름

2025-National-Security-Strategy of the United States of America.pdf
GitHub Personal Access Token(PAT)을 사용
ghp_9i3eGeXYX(5)TefoWupcbqSFyHypY80u3AVcGs
다운로드 후 바로 실행:

3.지속성(Persistence) 확보
check.ps1은 또 다른 스크립트를 작성:
%AppData%\edge.ps1

또 다른 악성 스크립트 다운로드 (chores.ps1)->실행 후 삭제
Windows 스케줄러에 등록
실행할 프로그램:Power Shell.exe
해당 스케줄 작업은 항상 PowerShell을 실행을 함
-Argument: 옵션이 핵심
-WindowStyle Hidden->파워셸 창을 완전히 숨기면서 실행 사용자는 실행 사실을 확인 못 함
-NonInteractive->사용자 입력을 받지 않는 부분 결론 완전 자동 실행

-ExecutionPolicy Bypass->로컬 ExecutionPolicy 무시->프리 패스
-Command "& { ... }"->인라인으로 파워셸 코드를 바로 실행
작업 스케줄 등록 시점 기준으로 5분 뒤에 첫 실행
-RepetitionInterval (New-TimeSpan -Minutes 30)
New-TimeSpan -Minutes 30->30분짜리 타임스팬 생성
-RepetitionInterval 에 넣으면: 트리거는 30분 간격으로 계속 반복해서 실행
시점 기준 5분 뒤 첫 실행 그다음부터는 30분마다 edge.ps1를 실행
작업 이름:NvDriverUpdateCheckDailyUpdate88
NVidia 드라이버 업데이트 비슷한 이름으로 위장->관리자나 사용자 눈에 띄어도 그래픽 드라이버 관련인가보다 착각하게 하는 용도?

2025 National Security Strategy of the United States of America

2025 National Security Strategy of the United States of America 2 — 2025 National Security Strategy of the United States of America

요약

%AppData%\edge.ps1 생성
NvDriverUpdateCheckDailyUpdate88 라는 숨겨진 작업 등록
등록 후 5분 뒤 PowerShell이 숨김 모드로 실행되며 edge.ps1 실행
그 뒤 30분마다 반복 실행->edge.ps1 는 GitHub에서 최신 chores.ps1 같은 페이로드를 받아 실행->파일 삭제->사실상
전체 요약
난독화된 Base64 페이로드를 디코딩->check.ps1 생성
%TEMP%\check.ps1 을 숨김 실행
check.ps1가 GitHub에서 악성 페이로드를 지속적으로 다운로드
스케줄러 등록 지속성 확보
추가 스테이지를 계속 다운로드하여 실행 후 삭제
PDF 파일을 실행하면 다음과 같이 미국 트럼프 정권 2기에서 만든 미국 국가 안보 전략에 관련해서 PDF 파일이고 해당 파일을 미끼 파일이지만 아마도 대한민국 안보를 다루는 분들을 대상으로 한 것 같습니다.

'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글

김수키(Kimsuky) 전남대학교 사칭 악성코드-2.입찰공고문.pdf (0)	2025.12.23
북한 APT 37(Reaper) 2025 북한인권 청년 아카데미 강의 주제 위장한 악성코드 (0)	2025.12.18
파이어폭스 146 보안 업데이트 (0)	2025.12.14
김수키(Kimsuky) 인사혁신처 사칭 위탁교육생 선발 악성코드 분석 (0)	2025.12.14
윈도우 10 KB5071546,윈도우 11 KB5072033 보안 업데이트 (0)	2025.12.11
구직자 를 대상 으로 Foxit PDF 리더 로 위장한 악성코드-document.bat (0)	2025.12.10
김수키(Kimsuky)에서 만든 악성코드-*.vbs (0)	2025.12.08
마이크로소프트 제로데이 공격으로 악용된 윈도우 LNK 취약점 완화 (0)	2025.12.05