최근 Kimsuky 그룹은 lnk 파일을 적극 활용하여 악성코드를 유포하고 있다. 사용되는 악성코드들은 보통 10메가 ~ 50메가 이상의 lnk 파일로 구성되고 내부적으로 파워쉘, 실행 bat, 위장 문서 파일의 내용을 포함하고 있다. (이외 부분들은 모두 더미 값이다.) 해당 악성코드 유포 방법에 대해 전체적인 도식도를 본 글에 기재한다.
피해자가 lnk 파일을 실행할 경우, lnk 파일 내부에 존재하는 파워쉘 코드, bat 파일이 각각 생성된다. 동시에 각기 실행되며 파워쉘 코드 및 bat 파일을 이용해 lnk 파일 내부 값을 파싱해 위장 문서 생성, dropbox 등 cloud 저장소 서비스를 이용해 RAT 악성코드 등 추가 악성코드를 피해자 PC에 다운로드하고 실행한다.
추가 악성코드로 탈취한 피해자 정보를 dropbox / pcloud / yandex 세 저장소 서비스 중 한 곳에 업로드하고, 향후 해당 저장소에 접근해 정보를 모두 탈취하는 형태이다.
최근 몇몇 기사들 및 본 블로그에 작성된 lnk 악성코드 파일들 대부분 이와 같은 형태로 동작한다.
반응형
'Analysis' 카테고리의 다른 글
| 72. Lazarus's Python malware (0) | 2024.05.13 |
|---|---|
| 70. North Korea's Phishing mail program (메일전송 프로그람 ver10.0) (0) | 2024.04.23 |
| 68. Kimsuky Correlation (Disguised Korean Public Institution) (0) | 2024.03.28 |
| 67. Xworm V5.2 (0) | 2024.02.29 |
| 66. BianLian ransomware (0) | 2024.02.06 |
