김수키(Kimsuky)만든 링크 방식 악성코드-질문지.doc.lnk(2023.05.08)
Contents
오늘은 북한 해킹 조직 중 하나인 김수키(Kimsuky,キムスキー)는 기본적으로 한국의 싱크탱크,산업계,원자력 발전소 그리고 대북 관계자, 그리고 탈북단체에서 운영하는 주요인물을 대상으로 조직적으로 해킹하고 있으며 한국의 퇴역 장교(특히 대북 기밀 다루었던 분), 전·현직 외교관, 전·현직 정부기관에 일하고 있든 일을 하고 있지 않든 아무튼 대북 관련 단체이며 해킹을 하고 있으며 그리고 최근 영업이 러시아, 미국 및 유럽 국가로 확장하고 있으며
김수키 라는 이름은 이 그룹의 공격을 처음 보고한 러시아의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직 이름 탈륨(Thallium), 벨벳 천리마(Velvet Chollima),블랙반시(Black Banshee) 등으로 불리고 있으며 해당 악성코드는 기본적으로 링크 형식으로 돼 있지만, 해당 링크를 실행하면 파워셀이 작동을 하고 여기서 TEMP 파일에 bat 파일 생성 그리고 2023년도 4월 29일 세미나.pdf 파일을 생성하시고 그리고 실행을 하는 방법을 사용하고 있습니다.
오늘은 링크 방식 악성코드로 제작된 악성코드인 질문지.doc.lnk에 대해 알아보겠습니다.
파일명: 질문지.doc.lnk
사이즈:48.8 MB
CRC32:a92f93e3
MD5:aa8ba9a029fa98b868be66b7d46e927b
SHA-1:df84ef49d7a50bd04c695489ec5a528155c6caec
SHA-256:f92297c4efabba98befeb992a009462d1aba6f3c3a11210a7c054ff5377f0753
최근까지 북한에서는 매크로를 사용을 해서 악성코드 공격을 했지만 이것도 마이크로소프트 오피스 및 기타 오피스 프로그램에서 기본적인 보안 정책인 …
김수키 라는 이름은 이 그룹의 공격을 처음 보고한 러시아의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직 이름 탈륨(Thallium), 벨벳 천리마(Velvet Chollima),블랙반시(Black Banshee) 등으로 불리고 있으며 해당 악성코드는 기본적으로 링크 형식으로 돼 있지만, 해당 링크를 실행하면 파워셀이 작동을 하고 여기서 TEMP 파일에 bat 파일 생성 그리고 2023년도 4월 29일 세미나.pdf 파일을 생성하시고 그리고 실행을 하는 방법을 사용하고 있습니다.
오늘은 링크 방식 악성코드로 제작된 악성코드인 질문지.doc.lnk에 대해 알아보겠습니다.
파일명: 질문지.doc.lnk
사이즈:48.8 MB
CRC32:a92f93e3
MD5:aa8ba9a029fa98b868be66b7d46e927b
SHA-1:df84ef49d7a50bd04c695489ec5a528155c6caec
SHA-256:f92297c4efabba98befeb992a009462d1aba6f3c3a11210a7c054ff5377f0753
최근까지 북한에서는 매크로를 사용을 해서 악성코드 공격을 했지만 이것도 마이크로소프트 오피스 및 기타 오피스 프로그램에서 기본적인 보안 정책인 …
IoC
aa8ba9a029fa98b868be66b7d46e927b
df84ef49d7a50bd04c695489ec5a528155c6caec
f92297c4efabba98befeb992a009462d1aba6f3c3a11210a7c054ff5377f0753
df84ef49d7a50bd04c695489ec5a528155c6caec
f92297c4efabba98befeb992a009462d1aba6f3c3a11210a7c054ff5377f0753