54. Kimsuky's Puyi (CHM malware)

2023년 09월 04일, 북한의 킴수키 그룹이 유포한 것으로 추정되는 CHM 악성코드를 입수했다. 본 글에서는 해당 악성코드를 분석한다.

해당 악성코드를 분석 중 등장하는 특이점을 따 Puyi 라는 이름을 붙였다.

 

* sha256 : 9fd5094447ff48e7ec032ced663717c99a164a5e8f4222d8f9cc708e24d3bc4d

 

먼저, 악성코드는 특정 회사의 08월 급상여대장 파일로 위장하고 있다.CHM 파일 열람시 아래 그림과 같은 화면이 나타난다. 아마 해당 악성코드는 특정 회사를 타겟팅하여 유포된 것으로 보여진다. 해당 CHM 악성코드는 실행시 자동으로 내부적으로 포함된 powershell 코드를 실행한다. 또한, 왼쪽 아래의 버튼을 클릭할 시에도 함수가 호출되며 powershell 코드가 실행된다. (아마도 해당 버튼은 테스트용도 등으로 보여진다.)

급상여대장 위장

 

해당 CHM 파일은 base64로 인코딩된 두 개의 파워쉘 코드를 포함하고 있다. 파일 실행시 커맨드를 통해 각각의 파워쉘 코드를 C:/Users/Public/documents 경로 아래에 entry01.dat, entry02.dat 으로 저장한다. 두 파일이 저장되고 나면 각각의 파일을 base64 디코딩 한 뒤, entry01.vbs와 entry02.bat으로 저장하고 entry01.vbs를 실행한다.

내부 파워쉘 코드 실행 부분

 

entry01.vbs 코드는 아래와 같다. 행위로는 WScript.Shell을 호출해 entry02.bat 을 실행하는 역할을 한다.

entry01.vbs 코드

 

entry02.bat 코드는 아래와 같다. 해당 코드는 bitsadmin 을 통해 C2 서버로부터 pmny04.crt, qmny04.crt 파일을 각각 다운로드한다. 이후, certutil -decode 명령을 통해 각 파일로부터 pmny04.bat, qmny04.cab 파일을 추출해내고 pmny04.bat 파일을 실행한다.

  * C2 서버는 현재도 연결 가능한 상태이기 때문에 공개하지 않음

추가 파일 다운로드

 

pmny04.bat 파일은 아래와 같다. 가장 먼저 C:\Users\Public\documents 경로 아래에 loyes03.bat 이 있는지와 upok.txt 파일이 있는지를 검사한다.

  - 두 파일을 검사하는 이유는 해당 PC가 이전에 이미 감염되었던 PC인지를 검사하기 위함이다. 만약, 이미 감염되었던 PC라면 더이상 행위를 수행하지 않고 종료한다.

이후에 qmny04.cab이 포함하고 있는 파일을 expand 명령어를 통해 같은 경로 아래에 추출한다. 파일들이 모두 추출되고 난 뒤에 temprr03.bat 파일이 존재하는지를 검사하고 해당 파일이 존재하면 실행한다.

pmny04.bat

 

temprr03.bat 파일은 아래와 같다. C:\Users\Public\documents 경로 아래에 cudk.txt 가 존재하는지를 먼저 검사한다. 만약 해당 파일이 존재할 경우, 앞과 같이 이미 감염되었던 PC로 인식해 더 이상 행위를 수행하지 않고 종료한다. cudk.txt 파일이 존재하지 않을 경우 mnasrt.vbs 파일의 존재를 검사하고 해당 파일을 실행한다.

  * cudk -> 북한 키보드 배열상 "푸이" (중국의 마지막 황제)

temprr03.bat

 

mnasrt.vbs 파일은 아래와 같다. 같은 경로에 있는 loyes03.bat 파일을 실행한다.

mnasrt.vbs

 

loyes03.bat 파일에서는 본격적인 악성 행위를 수행한다. 가장 먼저, C:\Users\Public\documents 경로 아래에 pmny04.bat이 존재하는지를 확인한다. 만약 해당 파일이 존재할 경우 레지스트리 키 Run 아래에 mnasrt.vbs 를 등록하고 loyestemp03.bat 파일을 실행한다.

또한, pmny04.bat 파일이 존재하지 않고 upok.txt 파일이 존재하지 않는 경우(이전에 실행된 적 없음을 나타냄)에도 loyestemp03.bat 파일을 실행한다.

  * 레지스트리키 Run : 윈도우 부팅시마다 자동실행 관련 레지스트리 키

loyes03.bat - part1

loyestemp03.bat 파일은 아래와 같다. cudk.txt 파일에 감염 PC의 각종 정보를 탈취한다. 이후 powershell 코드를 이용해 cudk.txt 내용을 base64 인코딩한 후 C2 서버에 업로드한다.

  - 탈취 정보

    - 유저명, dns 정보, ip 정보, 시스템 정보

  * uwpp.vbs : 동봉되어 있는 업로드 수행 악성파일

 

loyes03.bat 에서는 loyestemp03.bat 파일을 실행한 이후에 같은 경로에 strotan.txt 파일이 존재하는지를 검사한다. 존재하지 않을 경우에는 다음과 같은 행위를 수행한다.

  - temprun.bat 파일 존재 검사 -> 해당 파일 삭제

  - temprr03.bat 파일 존재 검사 -> 해당 파일 삭제

  - C2 서버로부터 해당 컴퓨터명과 관련된 파일 다운로드 후 jun.dat 파일로 저장 (dwpp.vbs: 동봉되어 있는 다운로드 수행 악성파일)

  - jun.dat 파일을 jun.cab으로 이름 변경

  - jun.cab 파일로부터 추가 파일들 추출

  - temprun.bat 파일 실행

  - strotan.txt 파일 검사 후 위 행위 반복 / 종료

loyes03.bat - part2

 

기본적으로 qmny04.cab 파일에 동봉된 파일 중 temprun.bat 파일은 존재하지 않는다. 따라서, 위 행위는 loyes03.bat 파일 등을 통해 피해자를 식별한 이후, C2 서버에서 피해자에 맞게 추가적인 악성코드를 다시 배포 후 실행하는 것으로 파악된다. 피해자를 식별하기 위해 피해자의 컴퓨터명을 쓰는 것으로 보여지며, 각 피해자에 맞는 악성코드를 temprun.bat 파일을 통해 실행할 것으로 예상된다. 따라서, 이후 행위에 대해서는 각 피해자마다 수행하는 악성 행위가 다를 것으로 보여진다.

 

관련된 분석 글

- https://p3ngdump.tistory.com/118

51. Kimsuky's powershell keylogger

- https://p3ngdump.tistory.com/113

46. Kimsuky's CHM

- https://p3ngdump.tistory.com/109

42. Kimsuky's 협의 이혼 의사 확인 신청서.docx

- https://blog.alyac.co.kr/4609

윈도우 도움말 파일(chm)로 유포되는 악성 이메일 주의!!

- https://asec.ahnlab.com/ko/56654/

후쿠시마 오염수 방류 내용을 이용한 CHM 악성코드 : RedEyes(ScarCruft) - ASEC BLOG

 

C2 서버 정보

chainilnk.site
198.187.31.163

"ip": 198.187.31.163
"country_name": United States
"state_prov": Arizona
"city": Phoenix
"latitude": 33.41611
"longitude": -112.00934
"time_zone": America/Phoenix
"isp": Web-hosting.com
"currency": US Dollar
"country_flag":

 

아래 정보를 통해 해당 사이트는 킴수키 연관 그룹으로 보이는 Konni와 연관되어 있는 것으로도 보임

https://twitter.com/watx_6833/status/1699602315685376116