✅ 보고서 제목: 북한 배후 김수키 APT의 암호화폐 테마 CHM·베이비샤크 악성코드
S2W 위협 인텔리전스센터는 북한 배후 APT 그룹 '김수키'가 암호화폐를 테마로 활용한 CHM 및 베이비샤크 악성코드에 대한 IOC 업데이트 중심의 분석 보고서를 발간했습니다.
✅ 보고서 요약:
1. 요약
- 2025년 5월 26일, S2W의 위협 연구 및 인텔리전스 센터 TALON은 Kimsuky 그룹을 추적하는 과정에서 가상자산 테마로 위장한 CHM 악성코드와 BabyShark 악성코드가 발견되어 분석을 진행하였습니다.
- 발견된 악성코드는 Windows 도움말 파일인 CHM(Compiled HTML Help) 형식으로, HTML 파일 내부에 포함된 JavaScript를 통해 PowerShell 명령어를 실행하고, 이를 통해 C2 서버로부터 추가 스크립트를 다운로드 받아 실행하였습니다.
- 추가로 다운로드된 PowerShell 스크립트는 감염 PC의 호스트 정보, 프로세스 정보, 파일 목록, 사용자의 키 입력 등을 탈취하는 BabyShark 유형의 악성코드로 확인되었습니다.
📌 주요 악성파일 정보: CHM 악성코드 (wallet.chm)
해당 파일은 Microsoft의 도움말 파일 포맷(CHM)으로, 내부에 악성 HTML 파일이 포함되어 있습니다. 사용자가 CHM 악성코드를 열고, ‘국세법’ 목차를 클릭 시, wallet.hhc 파일에 따라 page_1.html이 실행됩니다.
이 HTML에는 ActiveX 컨트롤을 통해 바로가기 객체(.lnk)를 생성 및 실행하는 스크립트가 포함되어 있으며, PowerShell 명령어를 인코딩한 문자열을 Link.dat에 저장합니다. 이후 certutil 명령어를 사용하여, Base64 디코딩하고, 동일 경로 내 Link.ini 를 생성합니다.
최종적으로 Link.ini는 wscript.exe를 통해 실행되어 C2 서버로부터 추가 스크립트를 다운로드 및 실행합니다. 해당 C2 서버로는 국내 전자제품 제조 및 수리 업체가 악용된 것으로 확인되었습니다.
특히, 실행 화면은 2025년 3월 발견되된 Kimsuky APT 그룹의 CHM 악성코드와 동일하게 나타났으나, 추가 스크립트를 다운로드 받는 C2 URL은 서로 다른 것으로 분석되었습니다.
📌 추가 페이로드: BabyShark 악성코드
query=1 을 통해 다운로드된 스크립트는 Kimsuky 그룹의 BabyShark 유형 악성코드로 식별되었습니다.
해당 악성코드는 감염된 시스템에서 다음 정보를 수집합니다.
- 시스템 정보(컴퓨터 이름, 소유자, 제조사, 모델, 시스템, OS정보, CPU정보 등)
- 특정 디렉토리 및 파일목록
- 현재 실행 중인 프로세스 목록
- 설치된 백신 제품 정보
이후, 탈취한 정보는 Base 64 인코딩되어 HTTP POST 방식으로 전송되며, 추가 페이로드가 다운로드되어 실행됩니다.
해당 페이로드는 PowerShell 명령어를 통해 C2 서버로부터 추가 명령을 받아 실행되며, Win32_ProcessStartup 객체를 이용해 프로세스 실행 창을 숨긴 상태로 동작합니다.
📌 추가 페이로드: 사용자 감시 스크립트
idx=5로 전달되는 PowerShell 스크립트는 사용자의 클립보드 및 키워드 입력을 탈취합니다. 이때 중복 실행 방지를 위해 "GlobalAlreadyRunning19122345” 라는 이름의 Mutex를 생성하며, 일정 시간 간격으로 탈취한 데이터를 C2 서버로 전송합니다.
✅ 위협 탐지 권장 사항 및 조치 방안:
- Kimsuky 그룹은 가상자산 테마를 사용하여 지속적으로 악성코드를 유포하고 있어 주의가 필요하며, 공격에 사용된 C2 도메인 및 URL의 접속 여부를 확인하고 차단 등의 조치가 권고됩니다.
- Kimsuky 그룹 관련 보고서
- Kimsuky 그룹의 Babyshark 악성코드 캠페인
- Kimsuky 그룹의 악성코드 ‘Troll Stealer’ 분석 보고서
👉 보고서 전문 문의하기: https://s2w.inc/ko/contact
*해당 보고서는 별도 문의 가능하며 S2W의 QUAXAR 플랫폼 구독 시 전문으로 제공됩니다.