60. Kimsuky's 국제안보군사정세(통권 제 273호)

얼마 전, Kimsuky 그룹이 유포한 것으로 확인되는 "2023년 10월 4주차 주간 국제안보군사정세(통권 제 273호).lnk" 파일이 발견되었다. 본 글에서는 해당 악성코드를 분석한다.

 

sha256 : 178bf7767629645cc2d0ce18287568751bfae1feb317313513a08fd1b6d97204

 

먼저, 해당 파일의 헤더는 PK로 압축 파일 형식을 띈다. 하지만 파일 내부 다른 부분에서 실제 악성행위를 수행하는 코드들을 포함하고 있다.

PK 헤더

 

파일 내 다른 부분을 살펴보면 아래와 같이 파워쉘 코드를 포함하고 있음을 알 수 있다. 

파일 내 파워쉘 코드

 

해당 파워쉘 코드는 파일 내부 영역에서 위장 pdf 파일과 실제 악성행위를 수행하는 bat 파일을 추출한다.

파워쉘 코드

 

파워쉘 코드가 실행되면 아래와 같이 bat 파일과 위장 pdf 파일이 생성된다.

악성코드 및 위장 파일

 

위장 파일은 한국국방외교협회의 "주간 국제안보군사정세"로 위장하고 있다.

위장 pdf 파일

 

 

실제 악성행위는 추출된 "041123.bat"을 통해 수행된다. 해당 bat 파일의 특이점은 변수명에 israel을 사용했다는 점이다. 최근 이스라엘-하마스 전쟁과 연관되어 있을 것으로 추측된다. 해당 bat 파일에서는 하드코딩 되어 있는 16진수 값들로 또 다른 파일을 생성한다.

041123.bat

 

생성된 파일은 특정 C2 서버로부터 파일을 다운로드하는 코드로 구성되어있다. C2 서버로는 dropbox를 이용하고 있으며, 해당 C2 서버에 접근시 "20231101.zip" 파일이 다운로드 된다.

생성된 악성파일

 

드롭된 20231101.zip 파일

 

20231101.zip 파일은 단순히 확장자만 보면 zip 파일인 것 처럼 보이지만 실제 내부 값을 살펴보면 전혀 다른 값이 담겨있다. 실제로는 아래와 같이 알 수 없는 16진수 값들의 나열이며 해당 값들은 20231101.zip을 내려받은 위 악성파일에서 xor 연산을 통해 악성행위를 수행하는 코드로 복호화된다.

20231101.zip

 

 

20231101.zip 파일을 복호화하면 아래와 같이 55 8B 로 시작하는 파일을 얻을 수 있다. 55 8B는 push ebp 의 16진수 값으로 해당 파일이 또 다른 악성행위를 수행하는 것을 알 수 있다. 해당 파일은 0x800 영역부터 xor 디코딩을 수행해 다시 exe 파일을 만들어낸다.

만들어내는 exe 파일은 RokRAT 악성코드로써 Kimsuky 그룹이 공격에 자주 사용했던 RAT 악성코드이다. 특정 C2 서버와 통신하며 명령어를 수신하고 해당 명령어에 대한 악성 행위를 수행한다.

복호화된 20231101.zip

 

관련 분석 글은 아래와 같다.

https://p3ngdump.tistory.com/123

56. Konni's 김정은 방러결과

https://p3ngdump.tistory.com/124

57. Kimsuky's Puyi

https://p3ngdump.tistory.com/125

58. Konni's 부가가치세과세표준증명

C2

hxxps://dl[.]dropboxusercontent.com/scl/fi/7iouye2eg58i1fmaus5nt/20231101.zip?rlkey=xqx0na1023enhhwri02lszdps&dl=0