북한 김수키(Kimsuky)에서 만든 워드 악성코드-인적사항.doc(2023.4.11)
Contents
오늘은 북한 해킹 조직 중 하나인 김수키(Kimsuky,キムスキー)는 기본적으로 한국의 싱크탱크,산업계,원자력 발전소 그리고 대북 관계자, 그리고 탈북단체에서 운영하는 주요인물을 대상으로 조직적으로 해킹하고 있으며 한국의 퇴역 장교(특히 대북 기밀 다루었던 분), 전·현직 외교관, 전·현직 정부기관에 일하고 있든 일을 하고 있지 않든 아무튼 대북 관련 단체이며 해킹을 하고 있으며 그리고 최근 영업이 러시아, 미국 및 유럽 국가로 확장하고 있으며
김수키 라는 이름은 이 그룹의 공격을 처음 보고한 러시아의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직 이름 탈륨(Thallium), 벨벳 천리마(Velvet Chollima), 블랙반시(Black Banshee) 등으로 불리고 있으며 해당 악성코드는 VBA 스크립트로 작성된 악성코드입니다.
해쉬값은 다음과 같습니다.
파일명:인적사항.doc
사이즈:109 KB
CRC32:9482c024
MD5:91d0b01a6a4a0b8edadf1df6a8e68d20
SHA-1:b39ac30367d9aa2d915e7ce5d102694b1a0c6450
SHA-256:0d663b9907a34604f120963b64a763c472e7e896857728199d3df912c93208a0
SHA-512: ae4e5fdee05faf1480b7d00801a41ced77f809286df85f294976c4a0a9311f45b02fa268b7eb4c0a2aeaa4ab4f6ac250c03c5fc38662e6059914d4c16b0f5277
일단 워드 파일이 실행되면 이력서처럼 인적 사항을 적는 항목이 나오면 언제나 매크로를 실행해야 악의적으로 작성된 매크로가 실행되어서 개인정보를 탈취하기 위해서 동작을 합니다. 일단 매크로 편집기로 열면 비밀번호가 걸려 있기 때문에 비밀번호를 없애 주거나 Cerbero Suite Advanced 같은 프로그램을 사용하거나 하시면 됩니다. 일단 악성코드가 동작하는 코드는 다음과 같습니다.
Private Sub Document_Open() …
김수키 라는 이름은 이 그룹의 공격을 처음 보고한 러시아의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직 이름 탈륨(Thallium), 벨벳 천리마(Velvet Chollima), 블랙반시(Black Banshee) 등으로 불리고 있으며 해당 악성코드는 VBA 스크립트로 작성된 악성코드입니다.
해쉬값은 다음과 같습니다.
파일명:인적사항.doc
사이즈:109 KB
CRC32:9482c024
MD5:91d0b01a6a4a0b8edadf1df6a8e68d20
SHA-1:b39ac30367d9aa2d915e7ce5d102694b1a0c6450
SHA-256:0d663b9907a34604f120963b64a763c472e7e896857728199d3df912c93208a0
SHA-512: ae4e5fdee05faf1480b7d00801a41ced77f809286df85f294976c4a0a9311f45b02fa268b7eb4c0a2aeaa4ab4f6ac250c03c5fc38662e6059914d4c16b0f5277
일단 워드 파일이 실행되면 이력서처럼 인적 사항을 적는 항목이 나오면 언제나 매크로를 실행해야 악의적으로 작성된 매크로가 실행되어서 개인정보를 탈취하기 위해서 동작을 합니다. 일단 매크로 편집기로 열면 비밀번호가 걸려 있기 때문에 비밀번호를 없애 주거나 Cerbero Suite Advanced 같은 프로그램을 사용하거나 하시면 됩니다. 일단 악성코드가 동작하는 코드는 다음과 같습니다.
Private Sub Document_Open() …
IoC
0d663b9907a34604f120963b64a763c472e7e896857728199d3df912c93208a0
145.14.144.206
145.14.145.122
145.14.145.245
91d0b01a6a4a0b8edadf1df6a8e68d20
ae4e5fdee05faf1480b7d00801a41ced77f809286df85f294976c4a0a9311f45b02fa268b7eb4c0a2aeaa4ab4f6ac250c03c5fc38662e6059914d4c16b0f5277
b39ac30367d9aa2d915e7ce5d102694b1a0c6450
http://145.14.144.206:80
http://145.14.145.122:80
http://145.14.145.245:80
145.14.144.206
145.14.145.122
145.14.145.245
91d0b01a6a4a0b8edadf1df6a8e68d20
ae4e5fdee05faf1480b7d00801a41ced77f809286df85f294976c4a0a9311f45b02fa268b7eb4c0a2aeaa4ab4f6ac250c03c5fc38662e6059914d4c16b0f5277
b39ac30367d9aa2d915e7ce5d102694b1a0c6450
http://145.14.144.206:80
http://145.14.145.122:80
http://145.14.145.245:80