김수키(Kimsuky)만든 링크 방식 악성코드-Pipelines Profile(2023,01,31)
Contents
오늘은 북한 해킹 조직 중 하나인 김수키(Kimsuky,キムスキー)는 기본적으로 한국의 싱크탱크,산업계,원자력 발전소 그리고 대북 관계자, 그리고 탈북단체에서 운영하는 주요인물을 대상으로 조직적으로 해킹하고 있으며 한국의 퇴역 장교(특히 대북 기밀 다루었던 분), 전·현직 외교관, 전·현직 정부기관에 일하고 있든 일을 하고 있지 않든 아무튼 대북 관련 단체이며 해킹을 하고 있으며 그리고 최근 영업이 러시아, 미국 및 유럽 국가로 확장하고 있으며
김수키 라는 이름은 이 그룹의 공격을 처음 보고한 러시아의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직 이름 탈륨(Thallium), 벨벳 천리마(Velvet Chollima),블랙반시(Black Banshee) 등으로 불리고 있으며 해당 악성코드는 기본적으로 링크 형식으로 돼 있지만, 해당 링크를 실행하면 파워셀이 작동을 하고 여기서 TEMP 파일에 bat 파일 생성 그리고 2023년도 4월 29일 세미나.pdf 파일을 생성하시고 그리고 실행을 하는 방법을 사용하고 있습니다.
오늘은 링크 방식 악성코드로 제작된 악성코드인 Pipelines Profile (Elfeel- Sharara-Mellitah + Wafa – Mellitah).lnk 이며 일단 보면 lnk 즉 링크 방식을 되어져 있는 링크 파일이 무슨 42.5 MB …
김수키 라는 이름은 이 그룹의 공격을 처음 보고한 러시아의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직 이름 탈륨(Thallium), 벨벳 천리마(Velvet Chollima),블랙반시(Black Banshee) 등으로 불리고 있으며 해당 악성코드는 기본적으로 링크 형식으로 돼 있지만, 해당 링크를 실행하면 파워셀이 작동을 하고 여기서 TEMP 파일에 bat 파일 생성 그리고 2023년도 4월 29일 세미나.pdf 파일을 생성하시고 그리고 실행을 하는 방법을 사용하고 있습니다.
오늘은 링크 방식 악성코드로 제작된 악성코드인 Pipelines Profile (Elfeel- Sharara-Mellitah + Wafa – Mellitah).lnk 이며 일단 보면 lnk 즉 링크 방식을 되어져 있는 링크 파일이 무슨 42.5 MB …
IoC
5d3e6a8d4bd0cf68c3fc3bdf7836c124538f5e8d
6753933cd54e4eba497c48d63c7418a8946b4b6c44170105d489d29f1fe11494
85e71578ad7fea3c15095b6185b14881
6753933cd54e4eba497c48d63c7418a8946b4b6c44170105d489d29f1fe11494
85e71578ad7fea3c15095b6185b14881