오늘도 Kimsuky(김수키)에서 만든 악성코드-하나은행_웨이브릿지 전략적 협업 제안서.lnk 에 대해 글을 적어보겠습니다.
일단 해당 악성코드는 하나은행_웨이브릿지 전략적 협업 제안서로 위장하는 것이 특징입니다.
파일명: 하나은행_웨이브릿지 전략적 협업 제안서.lnk
사이즈:1 MB
MD5:3561136674ef90bbe9e64245d42b9ef8
SHA-1:78ce7dbf3616e49efba69249121a985d0bd32073
SHA-256:45387425929d60b59f8d06c1c07f3e399eac8c5289f234bb5a26912509266fd0
악성코드 분석
이번에는 HEX로 구성이 되어져 있는 것을 볼 수가 있으며 해당 부분은 CyberChef 로 풀거나 notepad++로 쉽게 디코딩 가능합니다.
1.특정 LNK 파일을 찾음
하나은행_웨이묌립지 전략적 협업 제안서.pdf.lnk
겉보기에는 다음 PDF처럼 보이게 만든 파일
사용자가 문서라고 착각하고 실행하게 한 사회공학적 공격 방법
현재 폴더에서 해당 .lnk 를 찾지 못하면 %TEMP% 아래를 반복적으로 검색해서 같은 이름의 파일을 찾음
2..lnk 내부에서 미끼 PDF를 추출
시작 오프셋:8192 즉 0x2000
크기:110,221 bytes
XOR 키:165 즉 0xA5
출력 위치:%TEMP%\하나은행_웨이묌립지 전략적 협업 제안서.pdf
추출 후에는 해당 PDF를 실행
피해자로서는 PDF가 정상적으로 보이지만 뒤에서 악성 코드가 실행 중
3..lnk 내부에서 2차 PowerShell 페이로드를 추출 후 실행
원본:같은 .lnk 파일
시작 오프셋:118,413 즉 0x1CE8D
크기:17,497 bytes
XOR 키:200 즉 0xC8
결과:UTF-8 PowerShell 문자열
실행 방식:Invoke-Expression
0x00000000~0x00001FFF:LNK 구조,패딩,메타데이터
0x00002000:XOR 0xA5로 암호화된 미끼 PDF
0x0001CE8D:XOR 0xC8로 암호화된 2차 PowerShell
전체 동작 요약
가짜 PDF 바로 가기(.lnk)->숨김 PowerShell 실행->hex 문자열을 PowerShell 코드로 복호화-자기 자신인 .lnk 파일을 읽음->.lnk 내부에서 XOR 암호화된 PDF 추출->PDF를 열어 피해자에게 정상 문서처럼 보이게 함->.lnk 내부에서 XOR 암호화된 2차 PowerShell 추출->Invoke-Expression으로 실행
이렇게 동작을 하고 있으며 해당 문서 진위는 개인이니까? 모르겠고 지난 KB 국민카드와 같은 방식으로도 악성코드가 유포되고 있으니 조심하길 바랍니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 마이크로소프트 입장 번복 마이크로소프트 엣지,비밀번호 메모리 로딩 중단 (0) | 2026.05.19 |
|---|---|
| 경북 청도군 를 노린 김수키(Kimsuky)에서 만든 악성코드-노X정님.jse (0) | 2026.05.18 |
| 윈도우 11,윈도우 10 KB5089549 & KB5087420,KB5087544 보안 업데이트 (0) | 2026.05.16 |
| 한전 전기 요금 청구서로 위장한 피싱 메일 분석 (0) | 2026.05.15 |
| 북한 해킹 단체 코니(Konni)에서 만든 악성코드-0a6934a3_.lnk (0) | 2026.05.14 |
| 인스타그램 다이렉트 메시지 종단 간 암호화 기능 제거 메타가 채팅 내용에 접근 가능 (0) | 2026.05.13 |
| 인스타그램 DM 으로 유포 되는 네이버 계정 탈취 목적 김수키(Kimsuky)에서 만든 네이버 피싱 사이트 분석 (0) | 2026.05.11 |
| 북한 해킹 단체 김수키(Kimsuky)만든 악성코드-Condor_API-1.chm (0) | 2026.05.08 |
