오늘 분석 내용은 북한 해킹 단체 코니가 제작한 악성코드 0a6934a3_.lnk에 관한 것이다. 파일명은 0a6934a3_.lnk이며 크기는 1 MB, md5 는 7b4fc4d03238d20938a8c1a763028237, sha1 은 5fd6f20214f3fd1e424e453d2a5e5d78775b130e, sha256 은 6afdbaf73028607b49f725467bf5dce4bb9f8c7b7095e43f09ecfce94b450fd4로 확인된다. 분석에 따르면 LNK 내부의 오프셋 0x18A8~0xC1A71 바이트를 읽고 XOR 0x7F로 복호화하면 실행용 페이로드가 노출된다. LNK 내부에는 페이로드가 저장되어 있으며, 파일 내부의 페이로드 시작 오프셋은 0x000018A8으로 6,312BYTE, 읽어올 페이로드 크기는 793,201BYTE로 확인된다. 악성코드 실행 시 화면 출력과 함께 대상 LNK 전체 크기에서 0x18A8 위치부터 0xC1A71 바이트를 읽어들인다. 복호화 방식은 XOR이며 slSize가 0x01이므로 byRem 은 항상 0이다. 복호화된 파일의 저장명으로 $te8iducm이 사용되는데 이는 LNK 파일명 또는 경로의 길이가 5를 초과하는 경우 확장자를 제거하는 의도를 담고 있다.
본 악성코드에 포함된 PowerShell 코드가 외부 파일 다운로드를 수행한다. 다운로드 경로는 hxxps://theboxflow(.)com/wp-admin/maint/thermometer/?TEd=melWM0로부터 AutoIt3.exe를, hxxps://theboxflow(.)com/wp-admin/maint/thermometer/?YsG=tRnlL1로부터 pJtsLyQ(.).pdf를 각각 출력 파일로 저장한다. 최종 다운로드 위치는 C:\Users\Public\Videos로 설정되며 실행 파일은 AutoIt3.exe, 출력 파일은 pJtsLyQ.pdf로 명시된다. 이후 지속성 확보를 위한 예약 작업이 설정되며 시작 시점은 현재 시각에서 1분 뒤, 반복 간격은 1분, 지속 기간은 365일로 지정된다. 작업 실행 권한은 현재 사용자로 한정되며 RunLevel은 Limited, LogonType은 Interactive로 설정되었고 작업명은 pJtsLyQ이며 실행 명령은 C:\Users\Public\Videos\AutoIt3.exe에 인자값으로 C:\Users\Public\Videos\pJtsLyQ.pdf가 전달된다. 작업 스케줄러에 등록된 주기 역시 1분 간격으로 365일 지속되도록 구성된다.
분석에 필요한 AutoIt3 다운로드 및 파일은 사이트에서 이미 제거되어 더 이상 진단이 불가능한 상태다. 노려지는 대상은 불명확하지만, 매번 조심해야 하며 기본 수식을 지키는 습관이 필요하다.
