lazarusholic

2023-07-04, Sakai
https://wezard4u.tistory.com/6489
#Kimsuky

오늘은 북한 해킹 조직 중 하나인 김수키(Kimsuky,キムスキー)는 기본적으로 한국의 싱크탱크,산업계,원자력 발전소 그리고 대북 관계자, 그리고 탈북단체에서 운영하는 주요인물을 대상으로 조직적으로 해킹하고 있으며 한국의 퇴역 장교(특히 대북 기밀 다루었던 분), 전·현직 외교관, 전·현직 정부기관에 일하고 있든 일을 하고 있지 않든 아무튼 대북 관련 단체이며 해킹을 하고 있으며 그리고 최근 영업이 러시아, 미국 및 유럽 국가로 확장하고 있으며
김수키 라는 이름은 이 그룹의 공격을 처음 보고한 러시아의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직 이름 탈륨(Thallium), 벨벳 천리마(Velvet Chollima),블랙반시(Black Banshee) 등으로 불리고 있으며 해당 악성코드는 기본적으로 링크 형식으로 돼 있지만, 해당 링크를 실행하면 파워셀이 작동을 하고 여기서 TEMP 파일에 bat 파일 생성 그리고 2023년도 4월 29일 세미나.pdf 파일을 생성하고 그리고 실행을 하는 방법을 사용하고 있습니다.
오늘은 링크 방식 악성코드로 제작된 악성코드인 scarcurft.lnk 에 대해 글을 적어 보겠습니다. 해쉬값은 다음과 같습니다.
파일명:scarcurft.lnk
사이즈:10.7 MB
CRC32:f620debd
MD5:e233e4da734f75388b40fed1717bfb6a
SHA-1:d38ed1f834c168e5b8759d534d047e0a40aa9db1
SHA-256:1e0b5d6b85fca648061fdaf2830c5a90248519e81e78122467c29beeb78daa1e
매크로를 사용해서 악성코드 공격을 했지만, 이것도 마이크로소프트 오피스 및 기타 오피스 프로그램에서 기본적인 …

1e0b5d6b85fca648061fdaf2830c5a90248519e81e78122467c29beeb78daa1e
d38ed1f834c168e5b8759d534d047e0a40aa9db1
e233e4da734f75388b40fed1717bfb6a
https://1drv.ms/i/s!AhXEXLJSNMPTbfzgUMxNbInC6
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRiZnpnVU14TmJJbkM2Q0k_ZT1WZElLSjE/root/content