104. Kimsuky's link to picture.lnk
2025년 05월 14일 VirusTotal에 link to picture.lnk 파일이 업로드되었다. 해당 파일은 lnk 형식을 띄며 파워쉘을 호출하는 등 여러 특징으로 보아 Kimsuky 그룹이 유포한 것으로 보여진다. 본 글에서는 해당 파일을 분석한다.
* sha256: 7210ba8af9d40f85dc611a2b31b81e1addc257dba51eaf56402e82f193887650
먼저, link to picture.lnk 파일은 아래와 같이 lnk 파일 형식을 가지고 있다.
형식은 lnk이지만 실제 악성 행위를 수행하는 코드는 파일 내부에 파워쉘 코드로 작성되어있다.
파일 내 파워쉘 코드를 파싱해보면 아래와 같은 코드를 볼 수 있다. 해당 코드는 main.ps1 이라는 파일을 생성하는 파워쉘 코드이며 main.ps1의 코드는 $bas2에 base64 인코딩 된 상태로 할당되어있다.
$bas2의 변수를 디코딩하면 main.ps1의 코드가 나타나며 코드는 아래와 같다. 코드는 주요 행위로 githubusercontent로 부터 jpg 파일 다운로드 및 추가 악성 파워쉘 코드를 다운로드하고 스케쥴러에 등록한다.
* 스케쥴러 명: MicrosoftEdgeUpdateMachineFramework
추가 다운로드하는 jpg 파일 및 악성 파워쉘 코드의 경로는 아래와 같다. 공격자는 LOTS(Living-Off-Trusted-Site) 기법을 이용해 추가 파일을 다운로드한다. 하지만, 유포당시부터 파일이 업로드 되어있지 않은 것으로 보여진다. 따라서, 향후 공격에 앞서 테스트 목적의 공격이었을 확률이 존재한다.
- hxxps://raw[.]githubusercontent[.]com/ttei35/test/main/trading.jpg
- hxxps://raw[.]githubusercontent[.]com/ttei35/test/main/schtask.ps1
- hxxps://raw[.]githubusercontent[.]com/ttei35/test/main/first.txt
결론적으로 해당 공격은 향후 공격에 앞선 테스트 목적의 공격이었을 것으로 보여진다. 악성코드 유포 당시부터 githubusercontent 내 파일이 없었던 것으로 보아 실제 공격이 이루어지지는 않은 것으로 추측된다. 또한, Kimsuky 그룹은 이전부터 구글 드라이브를 통한 추가 파일 다운로드 등 LOTS 기법을 자주 사용해왔었다. 이번 공격에도 githubusercontent를 이용한 LOTS 기법이 사용된 것으로 보여진다.
MITRE ATT&CK
T1027 - Obfuscated Files or Information
T1027.002 - Obfuscated Files or Information: Software Packing
T1036 - Masquerading
T1053.005 - Scheduled Task/Job: Scheduled Task
T1059.001 - Command and Scripting Interpreter: PowerShell
T1071.001 - Application Layer Protocol: Web Protocols
T1105 - Ingress Tool Transfer
T1204.002- User Execution: Malicious File
T1547 - Shortcut Modification