김수키(Kimsuky) 만든 구글 크롬 부가기능을 통한 악성코드(2023.3.20)
Contents
오늘은 북한 해킹 조직 중 하나인 김수키(Kimsuky,キムスキー)는 기본적으로 한국의 싱크탱크,산업계,원자력 발전소 그리고 대북 관계자, 그리고 탈북단체에서 운영하는 주요인물을 대상으로 조직적으로 해킹하고 있으며 한국의 퇴역 장교(특히 대북 기밀 다루었던 분), 전·현직 외교관, 전·현직 정부기관에 일하고 있든 일을 하고 있지 않든 아무튼 대북 관련 단체이며 해킹을 하고 있으며 그리고 최근 영업이 러시아, 미국 및 유럽 국가로 확장하고 있으며
김수키 라는 이름은 이 그룹의 공격을 처음 보고한 러시아의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직 이름 탈륨(Thallium), 벨벳 천리마(Velvet Chollima), 블랙반시(Black Banshee) 등으로 불리고 있으며 해당 악성코드는 기본적으로 구글 크롬 사용자를 대상을 한 것처럼 보이며 구글 크롬 확장 프로그램을 설치하고 나서 구글에서 제공하는 지메일(Gmail)로그인시 작동을 해서 이메일 내용을 탈취하는 방법을 사용하고 있으며 대상들이 되는 분들은 다음과 같습니다.
외교관, 언론인, 정부 기관 종사자, 대학교수, 정치인들이며 여기서 만족을 하지 않고 미국, 유럽을 동시에 공격합니다.
그리고 구글 크롬 뿐만 아니라 Chromium 기반 브라우저도 감염될 수가 있습니다. 여기서 알고 …
김수키 라는 이름은 이 그룹의 공격을 처음 보고한 러시아의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직 이름 탈륨(Thallium), 벨벳 천리마(Velvet Chollima), 블랙반시(Black Banshee) 등으로 불리고 있으며 해당 악성코드는 기본적으로 구글 크롬 사용자를 대상을 한 것처럼 보이며 구글 크롬 확장 프로그램을 설치하고 나서 구글에서 제공하는 지메일(Gmail)로그인시 작동을 해서 이메일 내용을 탈취하는 방법을 사용하고 있으며 대상들이 되는 분들은 다음과 같습니다.
외교관, 언론인, 정부 기관 종사자, 대학교수, 정치인들이며 여기서 만족을 하지 않고 미국, 유럽을 동시에 공격합니다.
그리고 구글 크롬 뿐만 아니라 Chromium 기반 브라우저도 감염될 수가 있습니다. 여기서 알고 …
IoC
012d5ffe697e33d81b9e7447f4aa338b
11b99f460bf14c902083d2c9559da6f65ab376bcde5c63919a569ad5b5812d3d
15d9903e7d475d6927e0687ca238642678c90d2f
582a033da897c967faade386ac30f604
5f5432a5f992d8564c4db9074aaca1acb32a4687
a4daa30a2ef6943d8eec7759246f6584bfd679b094cb8b66302355500a036b9a
https://gonamod.com/sanghyon/index.php
11b99f460bf14c902083d2c9559da6f65ab376bcde5c63919a569ad5b5812d3d
15d9903e7d475d6927e0687ca238642678c90d2f
582a033da897c967faade386ac30f604
5f5432a5f992d8564c4db9074aaca1acb32a4687
a4daa30a2ef6943d8eec7759246f6584bfd679b094cb8b66302355500a036b9a
https://gonamod.com/sanghyon/index.php