김수키(Kimsuky)에서 만든 악성코드-[KBS 일요진단]질문지

본 블로그 글은 2023년에 제작된 악성코드가 매크로를 통해 작동하는 형태임을 지목한다. 문서명은 [KBS 일요진단]질문지.docx로 알려졌고 파일 크기는 약 1 MB이며 MD5, SHA 계열 해시 값이 함께 제시된다. 해당 매크로는 문서를 열 때 Microsoft Office의 콘텐츠 사용을 유도하는 화면을 내보내며, 이를 통해 매크로 실행 구동을 유발하는 구조로 설계되어 있다. 구체적으로 문서 상단의 편집 사용 버튼을 클릭하고 콘텐츠 사용 버튼을 눌러야만 내부 매크로가 작동하도록 유도하는 형태를 보인다. 이러한 흐름은 사용자가 경고나 불편을 느끼지 못하게 하기 위해 일반적인 Office 열람 흐름으로 위장하는 특징을 가진다.

매크로 내 콘텐츠 중 C2 서버 주소 분석이 첨부되어 있으며, 인터넷 주소를 가리키고 로컬 파일이 아닌 외부 자원을 호출하는 점이 확인된다. 대상 URL은 hxxp://jooshineng(.)com/gnuboard4/adm/img/ghp/up/state(.)dotm으로 표기되며, 문서가 열리자 Word는 해당 URL에서 state.dotm 파일을 내려받으려 시도한다. 다만 시간의 흐름에 따라 해당 파일은 이미 오래전에 존재하던 파일이므로 현재는 분석이 제한되거나 확인이 어려운 상태로 기술된다. 이로 인해 원격 서버로의 연결 및 추가 악성 코드 실행 가능성에 대한 우려가 남는다.

요약하면, 악성코드는 매크로를 통해 콘텐츠 사용 허가를 유도하고, 외부 C2 서버의 dotm 파일을 내려받아 추가 실행을 시도하는 방식으로 작동한다는 점이 강조된다. 문서는 합법적 문서 포맷으로 위장되며 사용자 개입을 유도하는 화면 구성과 함께 외부 자원 호출 경로를 남긴다는 특징을 지닌다. 이러한 구조는 피싱이나 사회공학적 요소와 결합되어 악성 행위를 지속하려 한다는 분석이 제시된다.