오늘은 Kimsuky(김수키) 로 추정되는 악성코드인 [별첨1]_사고인지_유형별_증빙자료_예시-최종.lnk 에 대해서 분석을 해보겠습니다. 해당 악성코드는 공격 대상은 보험사, 금융사, 보안팀, 감사팀, 법무팀, 총무팀 등으로 추정할 수가 있습니다.
파일명:[별첨1]_사고인지_유형별_증빙자료_예시-최종.lnk
사이즈:42 MB
MD5:300bb48d11bc5d2b9ac558ec8e830882
SHA-1:eeee1e0defa10f3791a3f00d804637f008ea4e07
SHA-256:c534df540c66e8578cf8400280cf8d8a4ed7a21a93fda27ec2e29e912f0dacaf
분석

악성코드는 문자열 치환 방법으로 난독화 돼 있으며 예를 들어서 4=p,37=o,48=w,29=e는 이런 방식으로 난독화 되어져 있는 것이 특징입니다.
일단 해당 부분은 파이썬으로 난독화 해제를 해주시면 됩니다.
그럼 분석을 하면 다음과 같이 됩니다. 먼저
cmd /k 부분이 보일것입니다.해당 부분은 명령창 유지를 하는 부분입니다. 즉 명령창을 종료하지 않는 역할을 수행을 합니다.
이제 핵심 부분입니다.power shell -executionpolicy bypass 이라는 부분이 보일 것인데 스크립트 실행 정책을 설정하고 나서 bypass 명령어를 통해서 무시하라는 명령
curl.exe 를 사용을 하는 것을 볼 수가 있습니다.
여기서 옵션들 -s 다운로드 진행 상황을 화면에 표시하지 말고 사용자 몰래 실행을 하게 하는 목적이 있습니다.

-L:만약 해당 주소가 다른 URL로 리다이렉트 가 이루어진다고 하면 리다이렉트 된 주소로 이동해서 해당 악성코드에서 다운로드 하라고 하는 파일을 다운로드 하라는 의미
-o:악성코드는 해당 악성코드 유포를 하고 있은 파일을 화면에 표시하지 말고 악성코드에서 지정하는 컴퓨터에 저장하라는 명령
악성코드가 사용을 하는 주소:hxxps://cyl(.)co(.)kr/faq/delete.php?....에서 파일 다운로드
PDF 도 다운로드 를 하면 다운로드 동시에 파일을 실행해서 사용자에게 보여 주는데 문제는 해당 PDF 파일은 아무 내용도 없음


BAT 다운로드를 다운로를 하는 동시에 다운로드 된 BAT를 숨김 처리
C:\Users\Admin\AppData\Local\ 부분에 YQvNvIO.exe 다운로드
IOC
URL
hxxps://cyl(.)co(.)kr/faq/delete(.)php?fileurl=MqaOeThlPB(g)7k7iIISnrD&link=BsoLp(8)wGvQRGLeUS2LGBYzNzeLezD1x5m1M
hxxps://cyl(.)co(.)kr/faq/delete(.)php?fileurl=NEnIcHaE(u)Tm3PRcT9&link=FpEGZ(P)ELHpY98hDk5DHumrBNuNaoxEGd
다운로드 하는 파일
YQvNvIO.exe
Y0QiqMwz.bat
[별첨1]_사고인지_유형별_증빙자료_예시-최종.pdf
%TEMP%\Y0QiqMwz.bat
%TEMP%\[별첨1]_사고인지_유형별_증빙자료_예시-최종.pdf
%LOCALAPPDATA%\TempYQvNvIO.exe
아무튼, 보험사, 금융사, 보안팀, 감사팀, 법무팀, 총무팀 같은 곳을 공격한 것으로 추정되니 항상 이런 곳은 조심하시길 바랍니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| Kimsuky(김수키) 한국방송통신대학교 학사 일정 사칭 악성코드-(첨부파일 1) 2026학년도 주요 학사일정 안내.lnk (0) | 2026.07.06 |
|---|---|
| FBI 러시아 해커들이 현재 시그널(Signal) 백업 복구 키 그리고 북한 해커의 예상 공격 시나리오 (0) | 2026.07.04 |
| 김수키 에서 만든 악성코드-고객현황_202604.lnk (0) | 2026.07.01 |
| 윈도우 10 2027년10월까지 ESU 지원 연장 (0) | 2026.06.30 |
| 서울 교육청 직원을 노린 피싱 이메일 분석 (0) | 2026.06.26 |
| macOS 사용자를 타겟으로 한 ClickFix 공격 사이트-grapefruitfilenexus 분석 (0) | 2026.06.25 |
| 애플 해커가 대화를 엿들을 수 있게 했던 비츠 스튜디오 버즈 취약점 수정 (0) | 2026.06.24 |
| 김수키(Kimsuky) 개인정보 유출 의심 확인 요청 으로 유포 되는 악성코드-2603vvip고객현황.lnk (0) | 2026.06.22 |





