77. Kimsuky's TRANSLATEXT

지난 6월 27일, Zscaler에 아래와 같은 글이 게시되었다.

https://www.zscaler.com/blogs/security-research/kimsuky-deploys-translatext-target-south-korean-academia

Kimsuky deploys TRANSLATEXT to target South Korean academia

 

Kimsuky 그룹이 TRANSLATEXT 라는 프로그램을 이용해 대한민국 학계에 악성코드 유포 및 공격을 수행한다는 내용이다. 본 글에서는 해당 공격에 이용된 악성코드 중 하나를 분석한다.

 

* sha256: d78e83f97f400660ec157fbcfb5a98e2514ff6ca6a5a20edd651dcaada469b02

 

먼저, 해당 파일은 파워쉘 파일이다. 아래에서는 바이너리로 인식하고 있지만, 실제는 파워쉘 코드이다.

파일 정보

 

해당 악성코드의 전체 코드는 아래와 같다. 수행하는 주요 악성행위는 아래 두 가지이다.

- 피해 PC의 특정 레지스트리 키 값을 탈취 후 github repository에 업로드

- C2 서버로 연결해 추가 악성코드 다운로드

전체 파워쉘 코드

 

파워쉘 코드에서는 먼저, C2 서버 통신에 TLS 1.2를 사용하기 위해 TLS 1.2를 설정한다.

TLS 1.2 설정

 

이후 메인 행위는 아래 그림의 코드에서 수행된다. 피해PC의 %APPDATA% 폴더에 접근해 1.txt를 생성한다. 이후 아래 두 가지의 레지스트리 키 값을 탈취한다. 두 레지스트리 값은 기본적으로 MDM(Mobile Device Management) 등의 보안 프로그램 설치 및 등록과 관련되어 있다. 아마, Kimsuky 그룹은 피해 PC에 설치된 보안 프로그램 여부 판단을 위해 해당 키 값들을 탈취했을 것으로 보여진다.

-  HKLM\SOFTWARE\Microsoft\Enrollments\FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF\EnrollmentState

  - uuid가 FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF인 기기에 대한 등록 상태 값

- HKCU\Software\Policies\Google\Chrome\ExtensionInstallForcelist

  - Chrome 관련 강제 설치되는 확장 프로그램 목록

악성 파워쉘 코드 중 일부

 

또한 위 그림에서 볼 수 있듯이, 두 레지스트리키 정보를 탈취해 저장하는 github repository 정보는 아래와 같다.

- github token: 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

- 계정명: cmastern

- repository명: motorcycle

 

github에 탈취한 정보를 upload 하는 코드는 아래와 같다. 특이점으로는 해당 코드는 github에 공개되어 있는 오픈소스 코드라는 점이다. 이러한 특이점은 Kimsuky 그룹이 악성코드를 개발할 때 오픈소스를 참고한다는 점을 보여준다. 또한, 악성코드 개발 인력의 부족 등을 엿 볼 수 있는 점이기도 하다.

* 공개 github 주소: https://github.com/gangstanthony/PowerShell/blob/master/GithubRestApi.ps1

github upload 코드

공개된 github 코드

 

이후 C2 서버에 통신을 시도하고 추가 악성코드를 다운로드 한다.

* 현재는 C2 서버가 닫혀있어 통신이 불가능하다.

* C2: http://ney[.]r-e[.]kr/mar/tys[.]php

C2 서버 통신 및 추가 악성코드 다운로드

 

 

이 공격으로 인해 Kimsuky 그룹이 악성코드 개발에 오픈소스를 적극 활용하고 있다는 점을 알 수 있다. 이러한 점은 향후 LLM(Large Language Model) 등도 악성코드 개발에 활용될 수 있다는 것을 뒷받침한다. 북한 측 공격자들도 악성코드 제작에 오픈소스 등을 활용하기 때문에 악성코드 탐지를 위해서는 더 고도화 된 방법이 필요하지 않을까 싶다.