김수키(Kimsuky) 만든 SGI 서울보증 사칭 악성코드-sgic_info.chm(2023.8.14)
Contents
오늘은 북한 해킹 조직 중 하나인 김수키(Kimsuky) 만든 SGI 서울보증 사칭 악성코드인 gic_info.chm에 대해 글을 적어 보겠습니다.김수키(Kimsuky,キムスキー)는 기본적으로 한국의 싱크탱크, 산업계, 원자력 발전소 그리고 대북 관계자, 그리고 탈북단체에서 운영하는 주요 인물을 대상으로 조직적으로 해킹하고 있으며 한국의 퇴역 장교(특히 대북 기밀 다루었던 분), 전·현직 외교관, 전·현직 정부기관에 일하고 있든 일을 하고 있지 않든 아무튼 대북 관련 단체이며 해킹을 하고 있으며
그리고 최근 영업이 러시아, 미국 및 유럽 국가로 확장하고 있으며
김수키라는 이름은 이 그룹의 공격을 처음 보고한 러시아의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직 이름 탈륨(Thallium), 벨벳 천리마(Velvet Chollima),블랙반시(Black Banshee) 등으로 불리고 있으며
해당 악성코드는 기본적으로 chm 형식으로 되어져 있습니다.
일단 해당 악성코드는 chm 확장자를 사용하고 있으며 Compiled HTML Help 의 약자로 마이크로소프트의 도움말 파일 형식입니다.
HTML 문서, 이미지, 스크립트 및 스타일 시트와 같은 웹 기술을 사용하여 제작되며 도움말 컨텐츠 인데 요즈음은 거의 사용을 하지 않고 대부분은 이제는 F1 서비스를 눌려 주면 온라인의 도움말로 …
그리고 최근 영업이 러시아, 미국 및 유럽 국가로 확장하고 있으며
김수키라는 이름은 이 그룹의 공격을 처음 보고한 러시아의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직 이름 탈륨(Thallium), 벨벳 천리마(Velvet Chollima),블랙반시(Black Banshee) 등으로 불리고 있으며
해당 악성코드는 기본적으로 chm 형식으로 되어져 있습니다.
일단 해당 악성코드는 chm 확장자를 사용하고 있으며 Compiled HTML Help 의 약자로 마이크로소프트의 도움말 파일 형식입니다.
HTML 문서, 이미지, 스크립트 및 스타일 시트와 같은 웹 기술을 사용하여 제작되며 도움말 컨텐츠 인데 요즈음은 거의 사용을 하지 않고 대부분은 이제는 F1 서비스를 눌려 주면 온라인의 도움말로 …
IoC
4474f7c8b1ee45d868e201de900f6a3d85e75ca4
4cc6398973af2a0041283357cee19245
5071a29f42689c6d83de6fc16bbc6272b50ff06a53c721f34b0d94a29112bba6
548e6a6d4c349b36b6f46949ac7e6e3b
793ae915ab19520cb3508630b51e289e
b0bed133fa08e36d05f0361aefa5cbd1
4cc6398973af2a0041283357cee19245
5071a29f42689c6d83de6fc16bbc6272b50ff06a53c721f34b0d94a29112bba6
548e6a6d4c349b36b6f46949ac7e6e3b
793ae915ab19520cb3508630b51e289e
b0bed133fa08e36d05f0361aefa5cbd1