북한 해킹 조직 김수키의 악성코드 사례로 전문의약품 제약 회사를 노리는 공격 방식이 제시된다. ERP 사양서를 노린 것으로, 파일명은 화이트 생명과학 ERP 사양서.lnk 이며 원래 목적처럼 엑셀 문서처럼 보이도록 아이콘이 꾸며져 있다. 실행 파일은 .lnk 바로가기를 통해 미끼를 제공하고 실제 동작은 PowerShell 경로를 탐색한 뒤 실행되도록 설계되어 있다. 이 과정에서 0xC7로 XOR 난독화를 거친 데이터가 C:\sysconfigs 에 저장되고 예약 작업으로 지속 실행되도록 등록된다.
공격 흐름은 엑셀 파일로 위장된 미끼가 먼저 열리고, LNK 내부 특정 오프셋에서 바이트를 추출해 같은 이름의 .xlsx 파일로 변환 저장한다. 이후 .lnk 본문, XML, 스케줄러 구성 파일 등을 차례로 생성해 시스템에 은닉적으로 남아 지속성 확보를 도모한다. 시스템 경로 탐색은 System32·SysWOW64 구분 및 %temp% 위치를 활용하며, 최종적으로 PowerShell 페이로드와 JS 런처를 포함하는 다단계 파일이 생성된다.
주요 페이로드로는 PowerShell 스크립트(opakib.ps1)와 JavaScript 파일(copa08o.js)이 있으며, 이들은 Dropbox API를 이용한 C2 채널 형태로 작동한다. 피해자 정보 수집에는 MAC 주소 기반 고유 ID, 공인 IP, 도메인/사용자명, OS 버전, 프로세스 목록이 포함되며 이를 RC4+Base64로 인코딩해 업로드한다. Dropbox에서 명령 파일을 내려받아 BAT 파일로 저장·실행하는 방식으로 제어가 가능하다. 최종적으로 LNK→XML→JS→PS1의 다층 실행 체계가 완성된다.
또한 응용 로직으로 특정 문자열과 파일 이름을 활용한 위장 기법, 정적 분석 회피를 위한 암호화 구성, 파일 컨테이너 및 스트림 Seek를 이용한 LNK 본문 읽기 방식이 제시된다. 예약 작업 XML 생성은 C:\sysconfigs 낚시 용 폴더를 시스템 설정 폴더처럼 보이게 하여 은닉성을 강화하고, schtasks 를 통해 즉시 실행되도록 구성한다. 분석된 구체적 경로와 데이터 흐름은 공격 지속성을 확보하기 위한 핵심 요소로 작용한다. 조심하는 습관이 필요하다.
