북한 김수키(Kimsuky)워드 악성코드-협의 이혼 의사 확인 신청서.doc
Contents
오늘은 북한 해킹 조직 중 하나인 김수키(Kimsuky,キムスキー)는 기본적으로 한국의 싱크탱크,산업계,원자력 발전소 그리고 대북 관계자, 그리고 탈북단체에서 운영하는 주요인물을 대상으로 조직적으로 해킹하고 있으며 한국의 퇴역 장교(특히 대북 기밀 다루었던 분), 전·현직 외교관, 전·현직 정부기관에 일하고 있든 일을 하고 있지 않든 아무튼 대북 관련 단체이며 해킹을 하고 있으며 그리고 최근 영업이 러시아, 미국 및 유럽 국가로 확장하고 있으며
김수키 라는 이름은 이 그룹의 공격을 처음 보고한 러시아의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직 이름 탈륨(Thallium), 벨벳 천리마(Velvet Chollima), 블랙반시(Black Banshee) 등으로 불리고 있으며 최근에는 협의 이혼 의사 확인 신청서이라는 이름으로 악성코드를 유포하고 있습니다. 즉 일반인들로 대상을 넓히는 것을 개인적으로 판단하고 있습니다. 일단 해당 악성코드의 해쉬값은 다음과 같습니다.
파일명:협의 이혼 의사 확인 신청서.doc
사이즈:61.0 KB
CRC32:5de9e5f7
MD5:e0cf0881de0fe35732bb02c1f4df02a3
SHA-1:3978abfd510cafbda865b708d6896560fede9a32
SHA-256:e8475fe3ac277d2eda466aaa4d42044d7230ac650b62dde38bf9727514c3ad69
SHA-512:21c90cf1850a8882f1dda5991ddd33d9bf66140aaf96d133755e7eb0967f5e8c686a6a7b0cbd4cb9532d74734a1a4b113b99468c471d22d2eb845d5981f0809b
QuasarRAT이 매크로가 포함된 워드 파일 형태이며 QuasarRAT은 공격자로 하여금 원격 접근이 가능하도록 허용하는 악성코드로서 사용자 계정 및 사용자 환경 정보 수집이 가능하게 하며 원격 코드실행 및 파일 업로드,다운로드 등 추가 …
김수키 라는 이름은 이 그룹의 공격을 처음 보고한 러시아의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직 이름 탈륨(Thallium), 벨벳 천리마(Velvet Chollima), 블랙반시(Black Banshee) 등으로 불리고 있으며 최근에는 협의 이혼 의사 확인 신청서이라는 이름으로 악성코드를 유포하고 있습니다. 즉 일반인들로 대상을 넓히는 것을 개인적으로 판단하고 있습니다. 일단 해당 악성코드의 해쉬값은 다음과 같습니다.
파일명:협의 이혼 의사 확인 신청서.doc
사이즈:61.0 KB
CRC32:5de9e5f7
MD5:e0cf0881de0fe35732bb02c1f4df02a3
SHA-1:3978abfd510cafbda865b708d6896560fede9a32
SHA-256:e8475fe3ac277d2eda466aaa4d42044d7230ac650b62dde38bf9727514c3ad69
SHA-512:21c90cf1850a8882f1dda5991ddd33d9bf66140aaf96d133755e7eb0967f5e8c686a6a7b0cbd4cb9532d74734a1a4b113b99468c471d22d2eb845d5981f0809b
QuasarRAT이 매크로가 포함된 워드 파일 형태이며 QuasarRAT은 공격자로 하여금 원격 접근이 가능하도록 허용하는 악성코드로서 사용자 계정 및 사용자 환경 정보 수집이 가능하게 하며 원격 코드실행 및 파일 업로드,다운로드 등 추가 …
IoC
142.250.181.238
239.255.255.250
e8475fe3ac277d2eda466aaa4d42044d7230ac650b62dde38bf9727514c3ad69
http://142.250.181.238:443
https://drive.google.com/uc?export=download&id=1SoDzDxjeD9T-yPcpXXI1hWkYpwGq7-00&confirm=t
239.255.255.250
e8475fe3ac277d2eda466aaa4d42044d7230ac650b62dde38bf9727514c3ad69
http://142.250.181.238:443
https://drive.google.com/uc?export=download&id=1SoDzDxjeD9T-yPcpXXI1hWkYpwGq7-00&confirm=t