오늘도 북한 김수키(Kimsuky) 에서 만든 악성코드 중 하나인 5월 신고 납부기한 통지서.pdf.lnk 에 대해서 알아보겠습니다. 해당 악성코드는 5월 신고 납부기한 통지서.pdf.lnk,국세 고지서.pdf.lnk 이름으로 유포를 하는 악성코드입니다.
MD5:9fc126288c15dc835b1e62baf80f95ba
SHA-1:b492a503cb4c8360f81adee8f1e07066beb030d1
SHA-256:ab96a72cb227b8b10a2f147ecf211e2094483f028fb57b380ec5f391d9e164e9
뭐~일단 해당 악성코드에 포함된 것은 PowerShell 사용을 해서 Base64로 인코딩된 부분을 통해서 link24(.)kr 으로 이동을 하게 되어져 있으며 얼마나 악성코드를 많이 배포하고 있으며 Emsisoft Browser Security 등 보안 업체들에서 차단하는 모습을 볼 수가 있습니다.
악성코드 유포 방법 Base64 부분을 디코딩을 하면 다음의 결과를 볼 수가 있습니다.
mshta.exe 이라는 명령을 악용해서 다음 사이트로 접속하면 이제 핵심 악성코드인 pdfko.zip이라는 것을 확보할 수가 있습니다.
hxxps://link24(.)kr/4QpM6sD
pdfko.zip이라는 단순히 보면 압축으로 보이지만 VBScript 입니다.
일단 해당 부분을 풀어야 하니~위대하게 경애하는 최고 사령관 동지인 파이썬 동지를 소환해서 풀어주면 됩니다.
난독화 해제를 하면 다음과 같이 결과 나올 것입니다.
ss = "W"
ss = ss & "S"
이걸을 다시 합치면 다음과 같은 결과를 볼수가 있습니다.
hxxps://drive(.)google(.)com/uc?export=downloadid=1YtDd(L)M3U6q__ZiX7fSidoktBrWbC2OsK
hxxps://drive(.)google(.)com/uc?export=downloadid=116azn_(9)bUov3mkSORbPk8_4zIVVNBHZn
hxxps://drive(.)google(.)com/uc?export=downloadid=1jqpw8(U)HpsY5ps3nKOfkyo2ql4hC23Mew
hxxps://drive(.)google(.)com/uc?export=downloadid=1x9mkl4q(9)ZU8_hDPNF5w0Mu8ePxVWI5VJ이라는 것을 확인할 수가 있습니다.
분석
1.복원 결과
url5 = hxxps://drive(.)google(.)com/uc?export=download&(i)d=1YtDdLM3U6q__ZiX7fSidoktBrWbC2OsK
url2 = hxxps://drive(.0google(.)com/uc?export=download&id=11(6)azn_9bUov3mkSORbPk8_4zIVVNBHZn
url3 = hxxps://drive(.)google(.)com/uc?export=download&id=1jqpw(8)UHpsY5ps3nKOfkyo2ql4hC23Mew
url4 = hxxps://drive(.)google(.)com/uc?export=download&id=1x9mkl4q(9)ZU8_hDPNF5w0Mu8ePxVWI5VJ
Google Drive는 C2 아님 2차 페이로드 저장소
2.실행 흐름
미끼 PDF 다운로드 및 실행
사용자에게 정상 PDF가 열린 것처럼 보이게 하는 디코이 동작
Windows Defender 상태 확인
파일에는 oShell.Exec(ss) 이후 StdOut.ReadAll 로 출력값을 읽고 STOPPED 문자열을 검사하는 분기가 존재
복원 결과
cmd /c sc query WinDefend
그리고
If InStr(output, "STOPPED") > 0 Then
윈도우 디펜더 가 중지된 환경에서만 후속 악성 코드 감염 을 계속 진행
추가 페이로드 다운로드
WinDefend Defender가 중지되어 있으면 %localappdata% 쪽에 추가 파일을 다운로드
user.txt
sys.log
3.PowerShell 로더 실행
ExecutionPolicy Bypass->PowerShell 실행 정책 우회
WindowStyle Hidden->창 숨김
NoProfile->사용자 프로필 로딩 없이 실행
1.ps1 -FileName 1.log->다운로드된 스크립트,
이렇게 되면 다음과 같이 동작을 할 것입니다.
VBS 실행->WScript.Shell 생성->Google Drive URL 복원->%temp%\temp.pdf 다운로드 및 실행->sc query WinDefend->
Windows Defender STOPPED 여부 확인->%localappdata%에 user.txt,sys.log 등 다운로드->%localappdata%\pipe 이동->PowerShell Hidden + Bypass로 1.ps1 실행->1.log 또는 sys.log 내부 페이로드 처리
핵심 요약
주요 기능
WScript.Shell 생성
Google Drive URL 4개에서 파일 다운로드
curl로 추가 파일 다운로드
미끼 PDF 실행
Windows Defender 상태 확인
Windows Defender가 STOPPED이면 추가 페이로드 실행
PowerShell을 Hidden + ExecutionPolicy Bypass로 실행
PDF 를 직접 실행을 해 보면 There was an error opening this document.
The file is damaged and could not be repaired. 메시지를 확인할 수가 있음
뭐~구글 드라이버이니까? 해당 파일은 변경될 가능성이 매우 큼
일단 이렇게 대한민국의 세금에 관심이 많으신 북한 해킹 집단인 김수키(Kimsuky)에서 만든 악성코드 5월 신고 납부기한 통지서에 대해서 알아보았습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 김수키(Kimsuky)에서 만든 악성코드-2026년 방위산업기술개발사업 최종평가위원회 위원 위촉 안내.pdf.lnk (0) | 2026.05.25 |
|---|---|
| 부킹닷컴 으로 위장 하고 있는 클릭픽스(ClickFix) 공격 사이트 분석 (0) | 2026.05.21 |
| Kimsuky(김수키)에서 만든 악성코드-하나은행_웨이브릿지 전략적 협업 제안서.lnk (0) | 2026.05.20 |
| 마이크로소프트 입장 번복 마이크로소프트 엣지,비밀번호 메모리 로딩 중단 (0) | 2026.05.19 |
| 경북 청도군 를 노린 김수키(Kimsuky)에서 만든 악성코드-노X정님.jse (0) | 2026.05.18 |
| 윈도우 11,윈도우 10 KB5089549 & KB5087420,KB5087544 보안 업데이트 (0) | 2026.05.16 |
| 한전 전기 요금 청구서로 위장한 피싱 메일 분석 (0) | 2026.05.15 |
| 북한 해킹 단체 코니(Konni)에서 만든 악성코드-0a6934a3_.lnk (0) | 2026.05.14 |
