lazarusholic

Everyday is lazarus.dayβ

북한 김수키(Kimsuky) 조직의 스피어피싱 메일 공격 분석

2024-02-28, Hauri
https://download.hauri.net/DownSource/down/dwn_detail_down.html?uid=58
íìë_í¹ìë³ìëíí_ëíê¹ìíê³µê²ëì_2024.pdf, 9.8 MB
#Kimsuky #Phishing

Contents

HAURI Security Response Center
2024.02.29

Special

Security

Report

먼저 예방하는 보안, 하우리가 만듭니다.

1. 스피어피싱 메일 공격 실태
2. 스피어피싱 메일의 특징
3. 스피어피싱 메일 배포 현황
4. 사칭 대상 사례
6. 한글 악성 문서 분석


Special

Security

CONTENTS

Report
1

북한 해킹 조직의 스피어피싱 메일 공격 실태

2

스피어피싱 메일의 특징

3

스피어피싱 메일 배포 현황
3-1. 스피어피싱 제목
3-2. 피싱 계정별 수발신 현황

4

사칭 대상 사례
4-1. 한국대사관 직원으로 사칭
4-2. 서울 Y대학 교수 사칭
4-3. 서울 Y대 대학생 사칭
4-4. 신문사 기자 사칭
4-5. 연구소 연구원 사칭
4-6. 국가 고위 공직자 사칭
4-7. 라디오 방송 기자 사칭
4-8. 미국 P 대학 박사로 사칭
4-9. 국제협회 관계자로 사칭

5

악성코드에 따른 메일 분류
5-1. 한글파일 (.hwp)
5-2. 클라우드 링크 다운로드
5-3. HTML 파일 (.html)
5-4. 윈도우 디스크 압축파일 (.iso)
5-5. 압축파일 (.zip / vbs 포함)

6

한글 악성 문서 분석

7

악성코드 목록 (IOC 정보) 및 결론 (Conclusion)


1

북한 해킹 조직의 스피어피싱 메일 공격 실태

 국가 주요 요직의 인물을 사칭하여 국내외 스피어피싱 메일 발송
 스피어피싱에 사용된 메일서버 16개, 사칭에 이용된 계정 24개로 400여명 이상 활용
 정치, 국제관계, 대학교, 정책기관 등 국내외 주요 기관에 소속된 인사에게 발송
이번에 발견된 북한 해킹 조직(Kimsuky)은 …

IoC

011cb038f507f249dfcd551afa2dee23
0652a10e88e47415cfbf1b52ea146155
0dc70177e55122295ff58e1d3939e8bd
183A514A151388D8348689922CC62929
1e7d6900f70b79c6bce5494280c39a43
2799f8e40c31f318e29775e180f2c1ec
2d8ca22e9f724db19dae71781d5c053c
31C414633476205DF29B8000709D8223
38dddd37aca22d53fad14db419224eaa
420A13202D271BABC32BF8259CDADDF3
437fbdc5fd22ccf10fe64e7401dc184c
466838EE4620AA0DD549C81C87E7ED8A
4dfeac44c9889e156af3512e4e4bf521
6058EE0530007655A3FD9AABA5D26349
6058ee0530007655a3fd9aaba5d26349
6af79a43dc0afe3cb7d123099ef69749
717FA139BD36A43F0252A362EC6B2EB7
7e82b6dde3a681a005936bd93217b1ff
939e0abe300c62163915e656d377317d
A33FF775E4530F3FC5E58470C4E4BCA5
A38657547F1BCCB3B76C262C9810DD96
ACABC4D0CE4C739994565A7824A6EB12
B50C9C94B2B70F84C4A9945C40D49EDD
D43CAECE6E649E95EC6C4C272457D36E
DE960B84D08D781E34785F28B9F791F5
ED3F5E93F3FFBEC0FE084FE23A067804
a33ff775e4530f3fc5e58470c4e4bca5
ba1b5b3070fe754698a43ee5329ba2f2
d43caece6e649e95ec6c4c272457d36e
d7034bfcd34cc4ea0d82539e5cd96228
dee7af6cf7d888c7cc61c0f67e93ae3a
ed3f5e93f3ffbec0fe084fe23a067804
fc18017e3704c1361f1a549e6a3f2003
http://namsouth.com/gopprb/
http://namsouth.com/gopprb/press/ca.php?na=reg0[.]gif
http://privateml.online/kang/ca.php?na=ger0.gif
https://1drv.ms/f/s!Ao8G44b_L1U9fG_o8TmdipAi7L4?e=XrOIAi
https://1drv.ms/f/s!Ao8G44b_L1U9gQohglfheSQ3sdUU?e=4I3poI
https://1drv.ms/f/s!AtZ1-pGa3M5LenSRKi3sMMIRx1E?e=4u1NpP
https://1drv.ms/u/s!AlAUjL3x8cR4fZH62I7OvidO-fg?e=QSosZF
https://1drv.ms/u/s!Antyf7HLfqvkeOgjeFiErQlBAqs?e=JXfShG
https://1drv.ms/u/s!AtZ1-pGa3M5LfQjS27nowdR1wBg?e=18bTag
https://1drv.ms/u/s!AvPucizxIXoqedcUKN647svN3QM?e=K6N1gT
https://1drv.ms/w/s!AvPucizxIXoqePBVZy12vv_QQys?e=qEqYZx
https://docs.google.com/document/d/1D2Ts3Yf7E57ZfvSDuCzygLzz2veIx5vw/edit?usp=
https://docs.google.com/document/d/1NvHKBPtBG9OPNP0DEMYM5Kjpj0Ub/edit?usp=
https://docs.google.com/document/d/1UkZ6sjL5NFpT6RB1sce8
https://docs.google.com/document/d/1UkZ6sjL5NFpT6RB1sce8ZxbLThmS_LKp/edit?usp
https://docs.google.com/document/d/1fVIU5jwzlSVv6pm
https://docs.google.com/document/d/1fVIU5jwzlSVv6pmVmbvgU5HoRIjj6URZ/edit?usp=sharing&ouid=10175
https://drive.google.com/file/d/1AwzYz4RNTXFXMRU9NUd8u
https://drive.google.com/file/d/1AwzYz4RNTXFXMRU9NUd8uPdk71pb80oA/view?usp=sharing
https://drive.google.com/file/d/1SwrPDnKu1CB5pLwyaHOPfxSm
https://drive.google.com/file/d/1SwrPDnKu1CB5pLwyaHOPfxSmLDUwVOkn/view?usp=sharing
https://drive.google.com/file/d/1gRDUB0ltwPaPMHG9G3bmtvcEwrV/view?usp=sharing
https://drive.google.com/file/d/1pslrIv7RWTq3-3jgn5VvVW0UU32N5UUcP/view
https://mngrdp.site/kang/d.php?na=battmp
https://mngrdp.site/kang/def.hta
https://namsouth.com/gopprb/OpOpO/ca.php?na=vbs.gif
https://namsouth.com/gopprb/press/d.php?na=battmp
https://namsouth.com/gopprb/press/def.hta
https://privateml.online/kang/ava.hta
https://privateml.online/kang/d.php?na=battmp
https://privateml.online/kang/def.hta