오늘은 북한 해킹 집단 김수키(Kimsuky) 에서 한국 바이낸스(Binance) 사용자를 노린 것을 추정되는 악성코드인 BN_FIU_2026.chm 에 대해서 알아보겠습니다.
파일명:BN_FIU_2026.chm
사이즈:1 MB
MD5:eb823d5448bc3d39e353a5fcf0feb91f
SHA-1:bd84642d51d473389ac25e724c1b1839aa9c92dc
SHA-256:bc0fe921f3dae89df12adbd034ff58b875223dd3c3119aba6eaa023ad818d653
해당 악성코드는 chm 파일로 위장하고 있으며 즉 도움말 파일로 위장하는 것이 특징이며 해당 악성코드 언제나 Base64 를 이용을 하는 것은 똑같음
윈도우 도움말처럼 위장하는 것이 특징
분석
1.PowerShell 명령
ActiveX를 통해 실행 Base64 데이터-> %USERPROFILE%\Links\Link(.)dat
%USERPROFILE%\Links\Link(.)ini
목적
Link.dat:Base64 인코딩된 데이터를 저장
certutil -decode:Base64를 실제 VBScript 코드로 변환
wscript.exe:복원된 VBScript를 조용히 실행
2.Base64 디코딩 결과
VBScript의 동작
HTTP 통신 객체 생성
Microsoft XMLHTTP COM 객체를 사용하여 웹 요청을 수행
원격 서버 접속
다음 주소로 HTTP GET 요청
hxxp://update(.)nstlog(.)store/binan_woo/bootservice(.)php
요청 파라미터:
tag=<랜덤 숫자>
query
서버 응답 수신
서버가 반환하는 데이터를 받아오기
응답 내용 즉시 실행: 서버가 보내는 VBScript 코드가 어떤 내용이든 간에 그대로 실행
PowerShell 창을 숨겨 사용자에게 노출되지 않도록 하는것이 특징
악성코드 실행 시 보이는 내용
자금출처 확인 요청서 (Source of Funds Verification)
접수번호: BN-FIU-2026-0519-731 | 처리부서: 금융정보분석원(FIU) 연계 대응팀
※요청 사항
귀하의 계정과 연계된 아래 3건의 트랜잭션이 FIU 보고 기준에 해당되어
자금출처(Funding Source)에 대한 증빙 자료 제출을 요청드립니다.
ETH 트랜잭션 #1
지갑 주소0x68977309E029c893De2CfBC43810Df681a150cE3
트랜잭션 ID0xa74f9266b034904a539930d5560fe76c4bc760447322233327a30968bcc969b5
트랜잭션 일자2026-05-15 03:05:33 (UTC)
ETH 트랜잭션 #2
지갑 주소0x690383eF6F5764115260E4d49B4fc021080A601F
트랜잭션 ID0x1c29c98311cc3a9002dd1dfb2a24c4413c899a9ceb1c956f88eb69c7aa321d08
트랜잭션 일자2026-04-23 04:48:06 (UTC)
SOL 트랜잭션 #3
지갑 주소EGQmE2VbE1h64zqG5EpUsuNrd6wrWFw2sx9WtyS5n27L
트랜잭션 ID2ZqnpMEmbt7dco26ENwakUfy3U4ercTvfdzh986vhAxb2ej4hCFEWmHsAqSyPzGGXsnhwq8c9EUNwDwqT5391tci
트랜잭션 일자2026-04-17 07:00:13 (UTC)
요청 서류 안내
위 트랜잭션들에 대한 자금출처 증빙을 위하여 아래 자료를 준비해 주시기 바랍니다.
• 각 트랜잭션별 자금출처 확인서 (거래소 거래내역, 지갑 간 이체내역 등)
• 자금의 출처를 입증할 수 있는 거래 증빙 자료
• 거래 상대방 정보 (해당될 경우)
제출 기한: 2026-05-21 14:32 UTC (48시간 이내)
기한 내 서류가 미제출될 경우 FIU 규정에 따라 해당 자산이 동결 조치될 수 있습니다.
본 문서는 Binance 준법감시팀 및 금융정보분석원(FIU) 규정에 따라 발송된 공식 요청서입니다.
허위 자료 제출 또는 제출 지연 시 관련 법령에 따른 법적 책임이 발생할 수 있습니다.
내용만 보면 Binance 준법감시팀 및 금융정보분석원(FIU) 규정에 따라 발송된 공식 요청서라고 하는데 해당 부분은 당연히 거짓말
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 김수키(Kimsuky)에서 만든 악성코드-[KBS 일요진단]질문지 (0) | 2026.06.03 |
|---|---|
| AMD의 광범위한 프로세서에 취약점을 해결한 BIOS 업데이트 공개 (0) | 2026.05.29 |
| 오산 공군기지를 공격을 한것으로 추측 이 되는 김수키(Kimsuky) 에서 만든 악성코드-Update_251001 ACM Sakesan Kantha.pdf.lnk (0) | 2026.05.28 |
| 구글 실수로 수정되지 않은 크롬 취약점의 세부 정보를 공개 (0) | 2026.05.27 |
| 마이크로소프트 새로운 윈도우 디펜더 제로데이 취약점이 공격에 악용 중 (0) | 2026.05.26 |
| 김수키(Kimsuky)에서 만든 악성코드-2026년 방위산업기술개발사업 최종평가위원회 위원 위촉 안내.pdf.lnk (0) | 2026.05.25 |
| 북한 김수키(Kimsuky) 에서 만든 악성코드-5월 신고 납부기한 통지서.pdf.lnk (0) | 2026.05.22 |
| 부킹닷컴 으로 위장 하고 있는 클릭픽스(ClickFix) 공격 사이트 분석 (0) | 2026.05.21 |
