lazarusholic

2023-06-14, Sakai
https://wezard4u.tistory.com/6474
#Kimsuky

오늘은 북한 해킹 조직 중 하나인 김수키(Kimsuky,キムスキー)는 기본적으로 한국의 싱크탱크,산업계,원자력 발전소 그리고 대북 관계자, 그리고 탈북단체에서 운영하는 주요인물을 대상으로 조직적으로 해킹하고 있으며 한국의 퇴역 장교(특히 대북 기밀 다루었던 분), 전·현직 외교관, 전·현직 정부기관에 일하고 있든 일을 하고 있지 않든 아무튼 대북 관련 단체이며 해킹을 하고 있으며 그리고 최근 영업이 러시아, 미국 및 유럽 국가로 확장하고 있으며
김수키 라는 이름은 이 그룹의 공격을 처음 보고한 러시아의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직 이름 탈륨(Thallium), 벨벳 천리마(Velvet Chollima),블랙반시(Black Banshee) 등으로 불리고 있습니다.
일단 요즈음 뉴스 보니 가상화폐(암호화폐)로 4조 탈취해서 ICBM(대륙간탄도미사일),핵개발등 아무튼 세계 평화에 도움이 안 되는 짓을 했다고 뉴스를 보았습니다. 4조면 밥에다가 소고기, 돼지고기, 치킨에 맥주를 해도 베풀리 먹을 수가 있을 것 같은데.
일단 유포되는 파일명은 다음과 같습니다.
document.doc (copy)
~WRD0000.tmp
아무튼 오늘은 document.doc (copy).doc이라는 오래간만에 매크로 된 악성코드를 분석을 해보겠습니다.
파일명: document.doc (copy). doc
사이즈:40.5 KB
CRC32:8274ed52
MD5:eabac2151828caacfa7c253d84a7b891
SHA-1:20695355bf0d88a3f81b8adf45c5f0bd6bf9dcce
SHA-256:107f319f6a0f9cfc054aa725553a0452b0125da10784d0270befc5d0b75549a8
일단 먼저 해당 글은 특정 정치인 및 푸른 산에 빨간색으로 색칠하든 말든 …

107f319f6a0f9cfc054aa725553a0452b0125da10784d0270befc5d0b75549a8
121.78.88.79
20695355bf0d88a3f81b8adf45c5f0bd6bf9dcce
8.238.42.126
eabac2151828caacfa7c253d84a7b891
http://121.78.88.79:80
http://8.238.42.126:80
http://miracle.designsoup.co.kr
http://miracle.designsoup.co.kr/user/views/resort/controller/css/update/list.php?query=1
http://user/views/resort/controller/css/update/list(.)php?query=1