오늘은 북쪽 동네 북한 아니 어떤 장관님 말씀으로 조선이라고 부려야 하는? 아니 북한에서 오산 공군기지를 공격한 것으로 추측되는 김수키(Kimsuky) 에서 만든 악성코드-Update_251001 ACM Sakesan Kantha.pdf.lnk 에 대해서 알아보겠습니다.
파일명:Update_251001 ACM Sakesan Kantha.pdf.lnk
사이즈:1 MB
MD5:b516ec6c6b37618ad65080a063270ea4
SHA-1:b9f25b21eccbcca77adb11a0e613d4eca4e38442
SHA-256:22180919f562fb9f6e50d7f20b2eb3f94eb009c212b74b45cf77659fe8274d5b
일단 악성코드는 당연히 파워셀로 구성이 되어져 있는 악성코드이며 PowerShell를 악용한 악성코드입니다.
일단 야무지게 언제나 Base64를 사용을 하는것을 확인을 할 수가 있었습니다.
CyberChef 로 보면 다음과 같이 Base64 디코딩을 하면 다음과 같은 결과를 볼 수가 있습니다.
악성코드 분석
1.1차 난독화 구조
commandlinearguments 안에는 긴 Base64 문자열이 들어 있는것을 확인을 할 수가 있습니다.
Base64 디코더를 구현해서 decoded PowerShell을 %TEMP% 에 저장하고 숨김 상태로 실행
%TEMP%\gdrtgdtghbthy.ps1
디코딩된 악성행위
GitHub raw 저장소에서 PDF처럼 보이는 파일을 다운로드
다운로드 대상:
hxxps://raw(.)githubusercontent(.)com/airkanpang/bientianlp/main/mkgyhhuihfyjyufkuik(.)pdf
저장 위치:
%TEMP%\Update_251001 ACM Sakesan Kantha.pdf
파일 다운로드 후 바로 실행
지속성 확보를 위해서 작업 스케줄러에 등록
이후 %APPDATA% 에 PowerShell 스크립트를 하나 생성
%APPDATA%\dsgrklnboudfr.ps1
파일은 주기적으로 추가 페이로드를 다운로드
작업 스케줄러에 등록
TaskName:POEUYGDJHYUTGEGUTYREWESACRTG
Interval:30분마다 반복
Start:실행 후 5분 뒤
Hidden:true
실행 명령:창 숨김+사용자 개입 없음+프로필 미사용+정책 우회
사용자 몰래 30분마다 반복해서 악성 행위를 실행하기 위한 과 그리고 컴퓨터와 노트북 실행 시 자동으로 실행하기 위함(악성코드들은 삭제했더라고 해당 작업 스케줄러는 사용자가 직접 삭제해야 함)
2. 추가 즉시 실행 페이로드
또 다른 파일도 내려받아 실행 악성코드 실행
다운로드 URL
hxxps://raw(.)githubusercontent(.)com/airkanpang/bientianlp/main/dsgrlnihdsfrg(.)txt
실행 후 삭제:
IOC
URL
hxxps://raw(.)githubusercontent(.)com/airkanpang/bientianlp/main/mkgyhhuihfyjyufkuik(.)pdf
hxxps://raw(.)githubusercontent(.)com/airkanpang/bientianlp/main/sdgrnhoigrsdoinh(.)txt
hxxps://raw(.)githubusercontent(.)com/airkanpang/bientianlp/main/dsgrlnihdsfrg(.)txt
파일 경로
%TEMP%\gdrtgdtghbthy(.ps1
%TEMP%\Update_251001 ACM Sakesan Kantha(.pdf
%APPDATA%\dsgrklnboudfr(.ps1
%APPDATA%\grsdondrf(.ps1
%APPDATA%\ms_update(.ps1
GitHub를 C2,페이로드 호스팅처럼 사용하는 PowerShell 기반 악성코드
굉장히 위험한 점:
GitHub Personal Access Token 사용
숨김 PowerShell 실행
작업 스케줄러 지속성
30분 주기 재감염/추가 페이로드 다운로드
.pdf.txt 확장자로 페이로드 위장
실행 후 삭제로 흔적 축소
감염 가능성이 있으면 즉시 해당 Scheduled Task 삭제, 위 경로 파일 제거, PowerShell 실행 로그와 네트워크 접속 기록을 확인해야 합니다.
요약
파일 위장:Type: Hangul Document 아이콘을 Google Chrome으로 위장
실제 행위:PowerShell 명령 실행
주요 목적:GitHub raw URL에서 추가 페이로드 다운로드 및 실행
지속성 확보: Windows 작업 스케줄러 등록
실행 은폐:-WindowStyle Hidden,-NoProfile,-ExecutionPolicy Bypass
문서 요약
군사 협력 방문
정비, 훈련 지원 인력 출입
계약업체(Contractor) 출입
외국군 또는 민간인 통제 출입
오산 공군기지를 출입하기 위한 사전 승인된 인원 리스트 그리고 한국인 같은 경우 주민등록번호, 자동차 번호들이 보이는데 사람 이름은 바뀌는데 자동차 번호판 번호는 같은 것을 돌려쓰는 것을 확인을 업스케일링을 통해서 확인할 수 있으면 주민등록번호는 무엇인가 너무 조잡한 것처럼 보입니다. 아니면 승합차에 실어 오면 뭐~대충 맞는 것 같고 뭐~제가 확인할 수가 있는 영역이 아닌 관계로 일단 패스~
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| AMD의 광범위한 프로세서에 취약점을 해결한 BIOS 업데이트 공개 (1) | 2026.05.29 |
|---|---|
| 구글 실수로 수정되지 않은 크롬 취약점의 세부 정보를 공개 (0) | 2026.05.27 |
| 마이크로소프트 새로운 윈도우 디펜더 제로데이 취약점이 공격에 악용 중 (0) | 2026.05.26 |
| 김수키(Kimsuky)에서 만든 악성코드-2026년 방위산업기술개발사업 최종평가위원회 위원 위촉 안내.pdf.lnk (0) | 2026.05.25 |
| 북한 김수키(Kimsuky) 에서 만든 악성코드-5월 신고 납부기한 통지서.pdf.lnk (1) | 2026.05.22 |
| 부킹닷컴 으로 위장 하고 있는 클릭픽스(ClickFix) 공격 사이트 분석 (0) | 2026.05.21 |
| Kimsuky(김수키)에서 만든 악성코드-하나은행_웨이브릿지 전략적 협업 제안서.lnk (0) | 2026.05.20 |
| 마이크로소프트 입장 번복 마이크로소프트 엣지,비밀번호 메모리 로딩 중단 (0) | 2026.05.19 |
