lazarusholic

2025-01-15, Sakai
https://wezard4u.tistory.com/429383
#Kimsuky

오늘은 북한에서 대한민국 및 해외의 공작활동을 총괄하는 군 소속 첩보기관으로 공작원의 양성, 침투, 정보수집, 파괴공작, 요인암살, 납치, 테? 등 다양한 임무를 수행 아무튼 대한민국 안보에 전혀 도움 안되는 정찰총국 산하의 해킹 단체 김수키(Kimsuky)에서 한국방위산업학회 향한 악성코드인 국방위산업학회 방위산업 디지털 혁신 세미나(계획)(2025.1.12)에 대해 알아보겠습니다.
해당 악성코드는 출발은 이메일로 시작하며 이메일 내용은 다음과 같습니다.
[최초 수신 메일] 한국방위산업학회 방위산업 디지털 혁신 세미나 계획을 전파 드립
니다.
안녕하십니까,
방산발전을 위해 분투하시는 회원님들의 무궁한 발전을 기원하며 항상 본 학회에 보내
주시는 성원에 감사드립니다.
2024.12.20(금) 10:00, 육군회관에서 방위산업 디지털 혁신 세미나를 개최하오니
참석희망하시는 분들께서는 메일로 제게 연락 주시기 바랍니다.
자세한 내용은 공문을 확인해주시기 바랍니다. (비번:?????)
감사합니다.
박?종 올림.
이라고 돼 있으며 첨부 파일은
한국방위산업학회 방위산업 디지털 혁신 세미나(계획).hwp
입니다.
헤쉬
한국방위산업학회 방위산업 디지털 혁신 세미나(계획).hwp
MD5:63a119714f01d9ff57c51614c9727f84
SHA-1:aa59e1d70ce58c5882b5890d86e63a3d0b3867da
SHA-256:d7367d9cc84d794ff73e90dd3cc936b18158bac8935ea4c5f1b7fddd821af430
해당 악성코드는 악성 HWP 문서가 실행되면 암호 입력 화면이 나타나며 입력을 여기 암호를 입력을 기다리게 되고 실제 암호가 입력되기 전까진 악의적인 동작을 하지 않습니다.
그리고 뭐~그냥 순순히 당해주는 척하려고 해당 HWP 를 실행을 하면 다음과 같은 결과를 얻을 수가 있습니다.
default.bat
document.bat
악성코드에 포함된 스크립트 코드
mode 15,1
del "%tmp%\한국방위산업학회 방위산업 디지털 혁신 …

63a119714f01d9ff57c51614c9727f84
aa59e1d70ce58c5882b5890d86e63a3d0b3867da
d7367d9cc84d794ff73e90dd3cc936b18158bac8935ea4c5f1b7fddd821af430