LG 쪽을 탈취 하기 위한 것으로 추측이 되는 악성코드-AI_Auth_Token_202603.bat

오늘은 정체를 알수 없는 APT에서 만든 악성코드이며 LG 쪽을 탈취하기 위한 것으로 추측되는 악성코드인 것 같습니다. 어디까지 나 私見
AI_Auth_Token_202603.bat 에 대해 글을 적어 보겠습니다.
해당 악성코드는 대부분 보안 업체에서 탐지하고 있지 않은 악성코드입니다.
파일명: AI_Auth_Token_202603.bat
사이즈:1 MB
MD5:2e6c90c88feb8a4cacdff126d0234129
SHA-1:ac671e74d7ac7b26c7e33eb5a62d20d7695f4235
SHA-256:621f852dba6e4657ccf7c27638c6840188718a4ea4894915028040a249eba4d4
해당 악성코드는 데이터 수집 및 외부 유출을 담당하는 악성코드입니다.

악성코드 분석

악성코드 에 포함된 Powershell 코드

시스템 정보와 사용자 데이터를 수집해서 외부 서버로 보내는 악성 코드
1.C2 서버 설정 및 초기 통신
특정 서버(lpst(.)co(.)kr)를 지정하고 있고 데이터 전송 대상임
curl로 사용자 몰래 조용히 접속 출력 숨기는 역할을 담당하게 된다.
의미:감염 확인 또는 통신 테스트
2.파일명 기반 파라미터 생성
실행 파일 이름에서 일부 값을 추출해서 URL에 포함
캠페인 ID 또는 피해자 식별용
공격자가 감염 경로 추적 가능 하게 설계
3.핵심: PowerShell 정보 수집 (사용자 몰래 실행)
시스템 정보
IP 주소
BIOS 시리얼
MAC 주소
CPU 정보

악성코드 직접 접속 화면

OS 이름
사용자 환경 정보
현재 사용자 계정,컴퓨터 이름
시작 프로그램 목록 (Run 레지스트리)
설치된 프로그램 일부
사용자 활동 흔적
최근 실행 파일 목록 (Recent)
Wi-Fi 프로파일 목록
파일 정보 수집
다음 위치에서 파일 이름 수집
Desktop
Documents
Downloads
대상 확장자:
PDF,docx,xlsx,txt
파일 내용은 안 가져가지만, 파일 이름만으로도 민감 정보 유출 가능(예: 계약서, 고객 데이터 등)
4.데이터 가공 및 유출
수집 데이터를 하나의 문자열로 결합
URL 인코딩 후 GET 요청으로 전송

악성코드 실행시 연결 되는 사이트

5. 타이밍 및 흔적 제거
약 10초 대기 후->PowerShell, mshta 강제 종료
행위 은폐 및 분석 방해하기 위한 목적
6.사용자 속이기 (사회공학)
LG AI Auth Token Verification 가짜 성공 메시지 표시해서 사용자에게 정상적인 알림인 것처럼 속임
IOC
도메인: www(.)lpst(.)co(.)kr
경로:/MET/runUpdate(.)action
문자열:_isfp_
프로세스:
powershell.exe
curl.exe
mshta.exe
해당 악성코드가 실행되면 보이는 웹사이트는 다음과 같습니다.
악성메일 모의 훈련이라고 돼 있으며 아래의 대응 요령에 따라 조치하시고 신고해 주세요 라고 돼 있음
신고하기를 눌러주면 신고가 완료되었습니다. 라고 나옴
HTML 분석
훈련 메일을 받았을 때 사용자가 신고하도록 유도하는 페이지
훈련 메시지 이미지를 보여주는 용도
사용자는 아마 먼저 이미지를 보고 이후 신고 버튼을 누르는 구조
누르면 showCard() 실행
팝업을 띄우는 용도
var trainingUserId = 16373;
훈련 대상 사용자 ID 같은 내부 식별자로 보임
보안 훈련 시스템에서 누가 열었는지 구분하는 값일 가능성 이것은 어디까지나 추측
의도
사내 해킹메일 훈련 시스템의 안내,신고 페이 또는 그 템플릿 일부 서버 변수 치환이 제대로 안 된 미완성 페이지처럼 보이게 하려고 설계된 것 같음
서버 변수 치환이 빠진 흔적이 존재 미완성, 오류 상태의 템플릿
해당 악성코드를 차단하는 업체들은 2군데밖에 없음
ALYac:Trojan.Agent.Drill
Skyhigh (SWG):BehavesLike.DataStealer.xq 
백신 프로그램에 탐지 안 된다고 해서 정상적인 파일이 아닐 수도 있음
항상 조심하는 습관뿐임