오늘은 북한 해킹 단체 중 하나인 김수키(Kimsuky) 에서 육군 K-ICTC(국제과학화전투경연대회)를 노린 악성코드에 대해 분석을 해 보겠습니다.
파일명:2026 4th K-ICTC Information.pdf.lnk
사이즈:1 MB
MD5:b3c90f52e4b86a94ec637fee4354bb84
SHA-1:95cc996705f5fb8d7947615269101fb4621306d9
SHA-256:169586b6eb36b17520ef5afd206da86c4de89eb01d6294ba9631414271ba752f
먼저 악성코드 내부를 보면 다음과 같이 되어져 있는 것을 확인을 할수가 있으며 해당 악성코드 결과는 다음과 같습니다.
악성코드 분석
1. 실행
현재 위치 기준으로 올라가서 cmd.exe 실행
일부러 상대 경로 사용
SysWOW64->32비트 환경에서 실행
2.핵심 명령
창 숨기기 속임수
콘솔 창 크기를 가로 15,세로 1로 줄임
페이로드 다운로드
동작:
C2:103(.)67(.)196(.)25
파일:conf.dat
.dat 하고 있지만 실제로는.vbe:VBScript 인코딩된 실행 파일
3.즉시 실행
다운로드한 VBE 실행
ant.vbe 분석
1.변수별 역할
$tiger->New-Object Net.WebClient 만들기 위한 문자열
$bear->DownloadString 쪽을 만들기 위한 문자열
$puma->URL 문자열
$bom->getmac 결과
$elepant->서버에서 받아온 2차 스크립트
2.getmac 실행
의미
getmac 실행
결과 중 특정 항목 선택
앞 17글자만 잘라냄
17글자는 보통 MAC 주소 문자열 길이
즉 공격자는 피해자 시스템의 네트워크 식별 값을 URL에 붙여 서버로 전송
4.URL 완성
hxxp://103(.)67(.)196(.)25//view1(.)php?type=apple&seed=00-10-02-03-04-05)
DownloadString(...)의 인자로 들어갈 준비
5.난독화 해제:$tiger
중간 중간 쓸데없는 문자열을 끼워 넣은 것
웹에서 문자열을 다운로드할 WebClient 객체를 만드는 부분
6.난독화 해제:$bear
$tiger 와 $bear를 합치면
(New-Object Net.WebClient).DownloadString 이 됩니다.
7.최종 다운로드 명령 조립
hxxp://103(.)67(.)196(.)25//view1(.)php?type=apple&seed=<MAC>
문자열 자체가 실행 가능한 PowerShell 명령
8.첫 번째 iex
C:\Windows\system32\schtasks.exe" /create /TN Chrome_Update /TR "C:\Windows\System32\wscript.exe /b "C:\users\public\music\ant.vbe"" /SC MINUTE /mo 15 /f 를 사용을 해서 윈도우 작업스케줄러에 서서 Chrome_Update 이라는 이름으로 15분마다 실행되게 설정해 놓음
powerfull->powershell
Repeat->Replace
japan->hxxp://103(.)67(.)196(.)25//view1(.)php?type=apple&seed=
이런 식으로 장난쳐 놓은 것을 확인할 수가 있습니다.
IOC
hxxp://103(.)67(.)196(.)25/conf(.)dat
hxxp://103(.)67(.)196(.)25/view1(.)php
C:\Users\Public\Music\ant.vbe
LNK->cmd.exe->curl->VBE->PowerShell
Mac 주소를 통해서 감염 호스트 식별, 감염 대상 구분, 피해자별로 다른 페이로드 전달,중복 감염/재감염 체크 하려는 목적인 것을 확인할 수가 있습니다.
PDF 내용
대한민국 육군에서는 26년 제4회 국제과학화전투경연대회를 개최할 예정
입니다.
이번 대회는 지난 3회차 대회처럼 다자간 연합전투기량과 상호운용성을
향상시키고 국가간 교류협력을 강화하기 위해 시행합
특히, 이번 K-ICTC 에는 마일즈 장비를 활용한 소부대 과학화전투훈련
뿐만 아니라 대한민국 육군의 전력화 무기들도 시연할 계획입니다.
K-ICTC는 참가국 간의 상호 신뢰를 구축하고 연합 파트너십을 한층 더
격상시키는 계기가 될 것입니다. '26년 4월 30일까지 참가 의사(미참가 의사 포함)를
회신해주시면 감사하겠습니다.
⦁훈련일정:26. 9. 14.(월)~18.(금)
⦁훈련장소:대한민국 육군 과학화전투훈련장(강원도 인제)
⦁참가규모:소대급 규모(25명)
인솔ㆍ지원인원 포함 30명 이내
참관단(옵저버)도 가능
육군작전참모부 에 대령 김XX 분은 있는지 모르겠지만, 그냥 인터넷에서 제23 신병교육연대 관련해서 이름 하나 훔쳐 와서 장난치는 것 같습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| API Reference 관련 위장한 김수키(Kimsuky)에서 만든 악성코드-api_reference.chm (0) | 2026.04.14 |
|---|---|
| CPUID 해킹 CPU-Z,HWMonitor 다운로드 통해 악성코드 유포 (0) | 2026.04.13 |
| LG 쪽을 탈취 하기 위한 것으로 추측이 되는 악성코드-AI_Auth_Token_202603.bat (0) | 2026.04.09 |
| 2025년 전 세계 인터넷 트래픽의 10.22%를 차지한 광고 추적기, 2024년 7.84%에서 증가 (0) | 2026.04.08 |
| 김수키(Kimsuky)에서 만든 악성코드-북한의 대외 전략 분석 및 남북관계 개선 방안 (0) | 2026.04.06 |
| 북한 라자루스(Lazarus)에서 만든 PyLangGhost RAT 악성코드-dprk pylan(.)js (0) | 2026.04.03 |
| macOS 사용자 개인정보를 노리는 ClickFix(클릭픽스)-update-check (0) | 2026.04.01 |
| 김수키(Kimsuky)에서 만든 악성코드-구매 주문서 SBPL2509217 (개정 1)·pdf.js (0) | 2026.03.30 |
