100. Kimsuky's 종신안내장v02_곽성환d

X(구 Twitter)를 둘러보던 중, Kimsuky 그룹이 유포한 것으로 보여지는 종신안내장v02_곽성환d.zip 파일을 발견하였다. 이전의 Kimsuky 그룹이 악성코드를 유포했던 방식과 비슷해보인다. 또한, 곽성환 이라는 인물을 특정해 유포한 것으로 보여진다. 여러 공공기관에 곽성환 이라는 이름을 가진 분이 많아서 누구로 특정되었는지는 정확한 정보가 아직 없다. 본 글에서는 해당 파일에 대해 분석한다.

 

* sha256: 079907b7feab3673a1767dbfbc0626e656f5d3b03b6cff471cc7cf8a1973ab34

 

먼저, 해당 악성코드는 zip 파일로 유포되었다. 크기는 약 7kb이다.

파일 정보

 

해당 파일을 압축 해제하면 아래와 같이 "종신안내장V02_곽성환D.pdf.pdf.lnk" 파일이 나타난다. 해당 파일은 아이콘 등이 pdf로 보여지지만 실제로는 lnk 파일이며 파일 내부에 악성 파워쉘 코드가 포함되어 있다.

압축 해제 파일

종신안내장V02_곽성환D.pdf.pdf.lnk 파일 내용

 

파일 내 존재하는 파워쉘 코드는 아래와 같다. base64 인코딩 되어 $ss 변수에 저장된 값을 base64 디코딩 해 실행하는 코드이다.

파일 내 파워쉘 코드

 

파워쉘 코드의 base64 인코딩을 디코딩하면 아래와 같은 또 다른 파워쉘 코드가 나타난다. 해당 코드는 총 세 개의 파일을 드롭박스로부터 피해 PC에 다운로드 하는 형태이다. 위장 pdf 파일 외 나머지 두 개의 파워쉘 파일은 %APPDATA% 아래에 다운로드된다.

- 종신안내장V02_곽성환D.pdf.pdf: 위장 pdf 파일

- chrome.ps1: 악성코드 지속 실행을 위해 추가 악성코드 다운로드, 파워쉘

- system_first.ps1: 확인 불가

base64 디코딩 파워쉘 코드

 

위 파일 중 chrome.ps1 의 경우 아래와 같은 코드이다. 해당 코드는 공격자의 드롭박스에서 파일을 다운로드 해 %APPDATA% 경로 아래에 temp.ps1으로 저장한다.

chrome.ps1

 

base64 디코딩 된 파워쉘 코드에서 chrome.ps1 을 지속 실행 하기 위해 스케쥴러 등록을 수행한다. 해당 스케쥴러는 "ChromeUpdateTaskMachine" 이름으로 30분마다 한 번씩 실행되도록 설정된다.

스케쥴러 등록

등록된 작업 스케줄

 

* 현재는 드롭박스가 닫혀있는 상태여서 추가 악성코드의 다운로드 등을 확인할 수 없다. 아마 유포될 당시에는 system_first.ps1 을 통해 추가 악성코드를 실행하는 것은 물론 temp.ps1 을 실행하는 형태로 동작했을 것으로 보여진다. 그 이유는 chrome.ps1에서 드롭박스를 통해 temp.ps1을 다운로드 하는 형태로 추가 악성코드를 다운로드 했으므로 system_first.ps1을 통해 실행했을 것으로 생각된다.

 

해당 악성코드는 이전에 Kimsuky 그룹이 악성코드를 유포했던 방식과 유사하게 유포된 것으로 보여진다. 유사한 항목은 아래와 같다.

- 드롭박스 사용

- 지속 실행을 위한 스케줄러 등록

  - 해당 스케줄러명이 Chrome, Edge 등 브라우저 관련

https://p3ngdump.tistory.com/168

98. Kimsuky's RFA_질문지 및 자유아시아방송 인터뷰 질의서

https://p3ngdump.tistory.com/163

93. Kimsuky's pay.bat