오늘도 북한 해킹 단체 김수키가 만든 악성코드 Condor_API-1.chm를 중심으로 분석합니다. 해당 악성코드는 Condor Casino API를 미끼 삼아 CHM 파일처럼 속이는 수법으로 배포됩니다. Condor Casino API는 카지노 플랫폼에서 슬롯이나 라이브 카지노 등 다양한 게임 콘텐츠를 외부 게임 제공사와 연동하기 위한 통합 시스템으로 소개되지만, 실제로는 이 미끼를 통해 악성코드가 실행되도록 돕는 역할을 합니다. 운영사 서버가 Condor API의 Launch API를 호출하면 세션 URL이 반환되고 유저가 이 URL에 접속해 게임을 시작한다는 흐름은 표면상 설명되지만, 실상은 Link 파일을 생성하는 파워셸(PowerShell) 기반의 실행 체계가 작동합니다.
초기 실행은 ActiveX 객체를 악용해 PowerShell을 실행시키는 방식으로 시작되고, Base64로 인코딩된 콘텐츠가 디코드되어 VBScript로 변환됩니다. Base64 디코드 과정은 문자열을 여러 조각으로 나누어 탐지를 우회하려는 흔적이 남아 있으며, 디코드된 VBScript는 VBScript 엔진을 통해 즉시 실행됩니다. 이 과정에서 PowerShell은 창을 숨긴 상태로 동작하며 링크 파일에 추가적인 페이로드를 다운로드해 실행하는 흐름이 반복됩니다. 다운로드된 스크립트는 원격 서버의 응답에 따라 실행 구문이 달라지며, 실행 흐름의 핵심은 서버로부터 전달되는 추가 코드의 Download&Execute 방식에 있습니다.
IoC 도메인은 check.nid-log.com이며 URL은 h t t p://check.nid-log.com/pc/bootservice.php?tag=<랜덤값>&query=1 형태를 취합니다. 첫 실행의 목적은 powerShell로 작동하는 악성코드를 부트스트랩하고, bootservice.php를 통해 VBScript나 추가 스크립트를 받아와 즉시 실행하는 구조로 연결됩니다. 실행 환경은 %USERPROFILE%\Links\Link.dat에 Base64로 인코딩된 VBScript를 저장한 뒤 certutil 디코딩 도구를 활용해 Link.ini를 생성하고 wscript.exe를 통해 비가시적으로 실행하는 구성을 갖습니다. 최종 행위는 서버 응답에 따라 달라지며, 1차 드로퍼는 HTML 자체로만 보이고 실제 악성 기능은 서버가 전달한 코드를 통해 작동합니다.
해당 악성코드의 특징은 과거 API 위장형 악성코드와 유사한 C2(콘트롤 및 명령) 구조를 사용한다는 점입니다. 외부 도메인과 원격 서버로의 지속적 연결을 통해 추가 코드를 받아 실시간으로 악성 행위를 제어하기도 하며, 미리 설명된 Condor Casino API의 연동 의사표현을 악용해 관심을 유도하는 방식이 반복됩니다. 이로 인해 카지노 관련 API 참조를 가장한 사회공학적 요소와 함께 다층적인 obfuscation 기법이 결합되어 탐지가 어려운 형태로 분석됩니다. 요즘 북한 쪽의 카지노 사업에 대한 관심이 증가했다는 관찰 또한 이와 무관치 않아 보입니다.
