김수키(Kimsuky) 전남대학교 사칭 악성코드-2.입찰공고문.pdf

오늘은 김수키(Kimsuky) 전남대학교 사칭 악성코드인 2.입찰공고문.pdf 에 대해 알아보겠습니다.
파일명:2.입찰공고문.pdf.lnk
사이즈:6 MB
MD5:2fbbb9b1b7a2433343a75b2afbc75069
SHA-1:59b5e3c17acb3712f259bac4b266f90b6e2b8428
SHA-256:775958dea69faf39917c2edef94536d1a61086f7f8c489683d235b058a767115
일단 내용은 간단합니다. 전남대학교 정보화 관련 생성형 AI 전문가 서비스 관련 입찰건 에 대해서 적어 놓은 HWP 에 관련해서 돼 있는 미끼 파일을 악용하는 것 같습니다.

내용

소액수의계약(물품) 견적제출 공고 미끼 파일

1.물품구매 개요
가.입찰건명:대민·행정용 클라우드 기반 생성형 AI 전문가 서비스 고도화 임차 사
업
나.납품장소:전남대학교 정보화본부 지정장소
다.납품기한:계약 후 30일 이내 납품 설치
라.기초금액:95,000,000원(부가가치세 포함)
마.입찰방법:전자입찰
바.하자담보책임기간:1년(라이선스 시작일로부터 1년)
사.기타사항:공동계약불가
견적서 제출기간:2025.8.4.09:00 ~ 2025.8.7.10:00

2.입찰공고문 악성코드 내용

인 것으로 보아서 그전에 작업했거나 아니며 다른 기관에서 작업하려고 하거나 둘 중 하나이겠지만….

악성코드 분석

Bsse64 디코딩

1.Base64 디코딩 후 동작
임시 폴더에 스크립트 생성
%TEMP%\7hweuyd.ps1
창 숨김 실행
실행 정책 무시
2.네트워크 통신 (GitHub C2)
GitHub Raw 악용

7hweuyd.ps1 복호화 실제 내용

페이로드 다운로드:
hxxps://raw(.)githubusercontent(.)com/Pigresy80/jongwooch/main/jayoung2(.)pdf
hxxps://raw(.)githubusercontent(.)com/Pigresy80/jongwooch/main/jayoung_real(.)txt
hxxps://raw(.)githubusercontent(.)com/Pigresy80/jongwooch/main/jayoung_first(.)txt
확장자는.PDF,.txt 이지만
PDF 파일은 미끼 파일
사용 헤더
인증된 GitHub 접근
Rate limit 회피
GitHub 차단 시 정상 트래픽 발생->차단 어려움
3. 지속성 확보를 위한 작업 스케줄러 등록
생성되는 예약 작업 이름
MicrosoftEdgeUpdateTaskMachinePlatform{DB45C425-2308-4503-1800-9472DCF27E00}
예약 작업 특징
숨김(Hidden)
30분마다 반복 실행
PowerShell 백그라운드 실행

작업스케줄러 에 등록

실행 파일:
%AppData%\MSUpdateRealtime.ps1
요약
GitHub Raw를 C2(명령 제어) 및 페이로드 저장소로 사용
예약 작업(Scheduled Task) 을 통한 지속성 확보
Microsoft Edge 업데이트로 위장
실제 공격에 사용된 실전 악성코드
뭐~이렇게 악성코드는 실행되는 것을 확인할 수가 있습니다. 아마도 전남대학교 입찰 관련해서 내용이니 해당 관련 기업들이 털렸을지도 모르겠네요.