마이크로소프트에서 제공하는 윈도우 및 오피스 관련 프로그램에 대한 제로데이 취약점 2개를 포함한 총 167개의 취약점에 대한 보안 업데이트가 포함 되어져 있는 보안 업데이트를 진행을 했습니다.이번 패치 화요일에는 8개의 심각한 취약점이 해결되는데, 그중 7개는 원격 코드 실행 취약점이고 나머지 하나는 서비스 거부 취약점93건의 권한 상승 취약점13건의 보안 기능 우회 취약점20건의 원격 코드 실행 취약점21건의 정보 유출 취약점10건의 서비스 거부 취약점9건의 스푸핑 취약점이달 초 마이크로소프트가 수정한 Mariner, Azure, Bing 관련 결함은 포함되지 않았으며 또한 구글이 수정한 Microsoft Edge/Chromium 관련 결함 80건도 포함되지 않았습니다.제로데이 취약점 2건 및 Micr..
어도비는 지난 12월 이후 제로데이 공격에 악용되어 온 CVE-2026-34621로 추적되는 취약점을 해결하기 위해 Acrobat Reader용 긴급 보안 업데이트를 발표했습니다.이번 결함으로 말미암아 악성 PDF 파일이 샌드박스 제한을 우회하고 권한이 높은 JavaScript API를 호출할 수 있어 임의 코드 실행으로 이어질 가능성이 있습니다.공격에서 관찰된 익스플로잇은 임의의 파일을 읽고 훔치는 것을 가능해지며 악성 PDF를 여는 것 외에는 사용자의 추가적인 상호작용이 필요하지 않습니다.구체적으로 익스플로잇은 util.readFileIntoStream()과 같은 API를 악용하여 임의의 로컬 파일을 읽고, RSS.addFeed()를 사용하여 데이터를 유출하고 공격자가 제어하는 추가 코드를 가져옵니다..
오늘은 북한 해킹 단체 중 하나인 김수키(Kimsuky) 에서 육군 K-ICTC(국제과학화전투경연대회)를 노린 악성코드에 대해 분석을 해 보겠습니다.파일명:2026 4th K-ICTC Information.pdf.lnk사이즈:1 MBMD5:b3c90f52e4b86a94ec637fee4354bb84SHA-1:95cc996705f5fb8d7947615269101fb4621306d9SHA-256:169586b6eb36b17520ef5afd206da86c4de89eb01d6294ba9631414271ba752f먼저 악성코드 내부를 보면 다음과 같이 되어져 있는 것을 확인을 할수가 있으며 해당 악성코드 결과는 다음과 같습니다.악성코드 분석1. 실행현재 위치 기준으로 올라가서 cmd.exe 실행일부러 상대 경로 사..
오늘은 북한 해킹 단체인 김수키(Kimsuky) 에서 만든 악성코드 API Reference(API 레퍼런스) 관련 위장하는 악성코드에 대해 분석을 해 보겠습니다.파일명:api_reference.chm사이즈:1 MBMD5:0ac44ad9cfbc58ed76415f7bc79239f9SHA-1:f759ccb6886234c63a66abd6102c636a46d1eba8SHA-256:1eff237dee95172363bfc0342d0389f809f753a6ec5e6848e57b3fd5482e9793해당 악성코드는 카지노 솔루션 통합 위한 백엔드 명세서를 보여주고 있지만 실제로는 악성코드 가 실행이 되면 사용자에게 보이는 악성코드 미끼 파일문서 내용은 쉽게 다음과 같습니다.Authentication:인증 Bearer ..
해커들이 CPUID 프로젝트의 API에 접근해 공식 웹사이트의 다운로드 링크를 조작해서 널리 사용되는 CPU-Z 및 HWMonitor 도구의 악성 실행 파일을 배포두 유틸리티는 컴퓨터 내부 하드웨어의 물리적 상태를 모니터링 하고 시스템의 종합적인 사양을 확인하기 위해 수백만 명의 사용자가 의존하고 있습니다.최근 레딧(Reddit)에 따르면 해당 도구 중 하나를 다운로드한 사용자들은 공식 다운로드 포털이 Cloudflare R2 스토리지 서비스를 가리키며 다른 개발자가 만든 또 다른 진단 및 모니터링 도구인 HWiNFO의 트로이목마화된 버전을 가져온다고 보고악성 파일의 이름은 HWiNFO_Monitor_Setup이며 해당 악성코드를 실행하면 Inno Setup 래퍼가 포함된 러시아어 설치 프로그램이 실행되..
오늘은 정체를 알수 없는 APT에서 만든 악성코드이며 LG 쪽을 탈취하기 위한 것으로 추측되는 악성코드인 것 같습니다. 어디까지 나 私見AI_Auth_Token_202603.bat 에 대해 글을 적어 보겠습니다.해당 악성코드는 대부분 보안 업체에서 탐지하고 있지 않은 악성코드입니다.파일명: AI_Auth_Token_202603.bat사이즈:1 MBMD5:2e6c90c88feb8a4cacdff126d0234129SHA-1:ac671e74d7ac7b26c7e33eb5a62d20d7695f4235SHA-256:621f852dba6e4657ccf7c27638c6840188718a4ea4894915028040a249eba4d4해당 악성코드는 데이터 수집 및 외부 유출을 담당하는 악성코드입니다.악성코드 분석시스템 ..
AdGuard의 연례 광고 추적기 보고서를 보면 2025년 광고 추적기가 전 세계 인터넷 트래픽의 10.22%를 차지했으며 이는 2024년의 7.84%에서 증가한 수치는 페이지가 로드될 때 활성화되는 초기 백그라운드 연결인 원시 요청을 나타냅니다.이는 사용자가 볼 수 있는 콘텐츠와는 별개AdGuard는 주요 광고 관련 요청 하나만 차단해도 평균 4.17건의 추가 백그라운드 요청을 방지할 수 있다고 추정이는 단일 페이지 로드 뒤에 트래커 관련 트래픽이 얼마나 빠르게 증가할 수 있는지를 보여줍니다.광고 트래커 트래픽의 지역별 동향북미와 중미 지역은 데이터셋에 포함된 국가 대부분에서 증가세를 보였습니다.미국은 6.61%에서 10.25%로 멕시코는 7.49%에서 11.61%로 증가남미 지역은 꾸준한 성장세를 보..
오늘은 북한 해킹 단체인 김수키(Kimsuky)에서 만든 악성코드인 북한의 대외 전략 분석 및 남북관계 개선 방안에 대해서 글을 적어보겠습니다. 해당 악성코드는 대북 정책 문서로 위장한 악성 LNK(바로가기) 파일로 유포하고 있으며 C2 서버로 깃허브(GitHub)를 활용하던 과거 방식과 달리 이번 공격에서는 깃랩(GitLab) 플랫폼으로 변경된 것을 확인할 수가 있습니다.파일명:북한의 대외 전략 분석 및 남북관계 개선 방안.lnk사이즈:1 MBMD5:302725413076d1aeaee2d7f2b3692646SHA-1:9a6946ca040c259a59deb11942d94ebbcff0cdefSHA-256:2df24d850d6a50410e6503bc449a61778e5e88722ea4e20e198ea61e4..
오늘은 북한 라자루스(Lazarus)에서 만든 악성코드인 PyLangGhost RAT 인 dprk pylan(.)js 에 대해 글을 적어 보겠습니다. 해당 악성코드는 Python 기반의 원격 관리 도구(Remote Access Trojan) 입니다.악성코드 목적원격 제어 및 명령 실행: 공격자가 원격 서버(C2)에서 보낸 명령어를 실행 및 추가적인 페이로드를 다운로드정보 탈취: 시스템 정보,설치된 프로그램 목록,네트워크 구성 정보 등을 수집하여 전송키로깅(Keylogging):사용자가 키보드로 입력하는 모든 내용을 기록하여 아이디, 비밀번호 등을 가로채기스크린 샷 캡처: 현재 사용자의 화면을 실시간으로 캡처해 공격자에게 보내기Python 기반:Python으로 작성되었지만, 탐지를 피하고 파이썬이 설치되지..
오늘은 macOS 환경을 노리는 ClickFix(클릭픽스) 인 update-check 은 macOS 정보 탈취 악성코드를 배포하기 위해서 제작된 클릭픽스 사이트입니다.유포 사이트update-check(.)com그리고 해당 사이트에 접속하면 정상적인 Cloudflare 같이 돼 있지만 실제로는 ClickFix(클릭픽스)를 통해서 사용자의 Terminal를 실행을 하고 나서 악성코드 다운로드 및 실행을 하려고 준비된 사이트입니다.Base64 인코딩bash 입니다.여기서 Base64를 디코딩하면 다음과 같은 결과를 확인할 수가 있습니다.hxxps://update-check(.)com/m/7d8df2(7)d95d9웹 소스를 보면 다음과 같이 돼 있는 것을 확인할 수가 있습니다.const CMD = "bash 코..
오늘은 북한 김수키(Kimsuky) 에서 만든 악성코드인 구매 주문서 SBPL2509217 (개정 1)·pdf.js 에 대해서 분석을 해 보겠습니다.난독화된 JScript 기반 악성코드입니다.파일명:구매 주문서 SBPL2509217 (개정 1)·pdf.js사이즈:1 MBMD5:26f44b7ddc4fdf3047c8dd65cde2d8adSHA-1:2afea39c546af925d7aa84757c0ec5dd9b27feb7SHA-256:172868ffc70bc40e4cc63680dc87817a2d8f37229ce4d0c36f1e02f551309978악성코드 분석AppData에 페이로드 드롭%APPDATA%\Gitt 경로에 Mumho라는 내용을 기록PowerShell을 숨김 실행창이 뜨지 않게 실행합니다.정상 관리..
오늘은 Kimsuky(김수키) 이력서를 악용한 Rokrat 악성코드인 이력서(박X민).lnk 에 대해서 글을 적어보겠습니다.파일명:이력서(박X민).lnk사이즈:1 MBMD5:1f378c0efc13669dada1fe340c6837bdSHA-1:215343916d101c6bbe287871816e063c78103dd1SHA-256:a4f72ce8b5736fe3ca2083cfe21bd51697f12e900e307c357cb8523b8f86e3ec악성코드 분석악성코드는 사용자 정의 인코딩1.숫자 문자열 준비파일 초반에 아주 긴 숫자 문자열이 보일것입니다.그냥 숫자 목록이 아니라 공격자가 숨겨 놓은 인코딩된 바이트보통은:평문 문자열,Base64,외부 파일/리소스내부에 Invoke-WebRequest,FromBase..
오늘은 북한 김수키(Kimsuky)에서 만든 악성코드인 a.js(가칭) 에 대해 알아보겠습니다.파일명: a.js사이즈: 1 MBMD5: 927d3b32a981e6fed96c07a46ab1904eSHA-1: 97ab16b075fc1e6d9017a4a51b1d12d4f989ab56SHA-256: 010f9441add5cd1e48550a65c1496564fa62e709c7793d0ae7abee2951fc0eb5해당 악성코드는 내부 Base64 문자열을 복호화해서 PowerShell 다운로드 스크립트를 하고 PowerShell로 외부 URL에서 1.hwp를 내려받아 %TEMP%\profile.hwp로 저장하고 실행을 하고 나서 URL d(.)php에서 추가 명령을 받아 Base64 디코딩 후 execute로 즉..
DarkSword 로 명명된 iOS 기기용 새로운 익스플로잇 키트와 배포 프레임 워크가 암호화폐 지갑 앱의 데이터를 포함한 광범위한 개인 정보를 탈취하는 데 사용DarkSword는 iOS 18.4부터 18.7까지를 실행하는 아이폰을 표적으로 삼으며 이달 초 공개된 Coruna 익스플로잇 체인을 사용한 러시아계로 추정되는 UNC6353을 비롯한 여러 공격 주체와 연관되어 있음모바일 보안 기업 룩아웃(Lookout)의 연구원들은 코루나(Coruna) 공격에 사용된 인프라를 조사하던 중 다크소드를 발견구글의 위협 인텔리전소 그룹(Threat Intelligence Group)과 아이베리파이(iVerify)도 이 미확인 위협과 이를 악용하는 공격자들을 보다 포괄적으로 분석하기 위해 협력iVerify의 조사 결과..
오늘은 김수키(Kimsuky) 대외보안 0223_주미한국대사관_비공개_정책간담회_계획안 문서로 위장한 악성코드를 분석하는 시간을 가져 보겠습니다.파일명:(대외보안)0223_주미한국대사관_비공개_정책간담회_계획안.pdf.lnk사이즈:1 MBMD5:1f378c0efc13669dada1fe340c6837bdSHA-1:215343916d101c6bbe287871816e063c78103dd1SHA-256:a4f72ce8b5736fe3ca2083cfe21bd51697f12e900e307c357cb8523b8f86e3ec악성코드 분석PowerShell 명령행 인자를 보면 긴 숫자 문자열 들이 존재하고 있음.공백으로 구분된 숫자를 하나씩 읽어 byte[] 형태로 만듦2차 스크립트를 평문으로 넣지 않고 숫자 배열로 숨겨..
오늘은 페덱스(FedEx) 운송 송장으로 위장하는 피싱(Phishing) 메일 분석을 해보겠습니다. 해당 피싱 메일은 페덱스(FedEx) 운송 송장으로 위장하고 있지만 KSD(한국예탁결제원) 관계자를 대상으로 하는 피싱으로 추정이 됩니다.내용은 다음과 같습니다.FedEx Billing Online에 5013(으)로 끝나는 고객번호에 청구된 다음과 같은 청구서가 있습니다.청구서 번호 청구 날짜 청구 금액 결제 기한 953482104 2026년 2월 19일 331,070.00 KRW 2026년 3월 21일 미결제 청구서에 대한 납부를 위해 FedEx Billing Online 웹사이트에 접속해주십시오.이라고 돼 있는 것이 특징입니다.피싱 메일 분석이메일을 보면 FedEx Billing Online처럼 보이지..
마이크로소프트는 윈도우 11을 실행하는 삼성 노트북에서 C:\ 드라이브 접근을 차단하는 버그의 원인이 삼성 갤럭시 커넥트(Samsung Galaxy Connect) 앱임을 확인해당 문제 때문에 C:\에 액세스할 수 없음. 액세스 거부 오류가 발생하며 영향을 받은 사용자는 파일 열기,아웃룩(Outlook),오피스 앱, 웹 브라우저를 포함한 애플리케이션 실행, 관리자 작업 수행 등이 불가능마이크로소프트는 해당 문제가 다른 기기로 확산하는 것을 막으려고 마이크로소프트 스토어에서 삼성 갤럭시 커넥트 앱을 일시적으로 삭제삼성 노트북 윈도우 11 버그의 영향영향을 받는 기기에서는 사용자가 별도의 조처를 하지 않아도 일상적인 작업 중에 액세스 거부 오류가 발생경우에 따라 권한 오류로 말미암아 사용자가 권한을 상승시키..
오늘도 북한 김수키(Kimsuky) 에서 만든 악성코드인 Template.pdf.lnk 에 대해서 간단하게 글을 적어보겠습니다.파일명: Template.pdf.lnk사이즈:1 MBMD5:63d6052e7777d18dbc5216873badf9f6SHA-1:1011bb4de8bcf246872d45e3ba66b9ee555a7dfdSHA-256:3abed03cc4978216740f750c94d35550e60eb858e54ea5106cc340dd6c8779ce악성코드 분석1. 문자열이 의미일반 PDF의 메타데이터가 아니라 Windows Shell Link(.lnk) 파일에서 추출된 문자열 영역(StringData)LNK는 단순한 바로 가기 가 아니면 내부에는 보통 이런 정보가 들어갑니다.현재 포함된 내용대상 경로..
애플 2025년 초부터 실제 공격에 활용된 코루나(Coruna) 익스플로잇 패치코루나(Coruna) 익스플로잇 키트는 2025년 초부터 여러 공격 캠페인과 연관되어 온 것으로 밝혀졌습니다.보안 연구원들은 해당 키트가 취약한 기기에서 원격 코드 실행이나 커널 수준 권한을 획득할 수 있는 여러 익스플로잇 체인을 포함하고 있다고 밝혔습니다.애플의 업데이트는 이 프레임워크가 노린 여러 취약점을 해결CVE-2023-41974:메모리 관리 개선을 통해 커널 use-after-free 취약점 수정CVE-2024-23222:검사 기능 강화를 통해 WebKit 타입 혼동 문제 해결CVE-2023-43000:WebKit use-after-free 취약점CVE-2023-43010:WebKit 메모리 처리 결함해당 문제들 중..
오늘은 MRT(원도우 악성 소프트웨어 제거 도구) 에 대해 올바르게 알기 에 대해 글을 적어보겠습니다. 해당 글은 MRT(원도우 악성 소프트웨어 제거 도구) 에 대해서 2009년에 한 번 적었던 글이 있습니다. 해당 글을 다시 글을 적는 이유는 다음과 같습니다. 최근 유튜브 나 인스타그램,쓰레드,페이스북에 보면 윈도우에 있는 악성코드 제거 기능이라고 소개하는 영상을 보니 마치 해당 MRT(윈도 악성 소프트웨어 제거 도구)가 모든 악성코드를 탐지 및 제거를 하는 것처럼 영상이 돼 있어서 피해를 보시는 분들이 있지 않을까? 해서 글을 적게 되었습니다. 물론 그냥 있으면 되지만 앞서 이야기한 것처럼 잘못된 부분으로 피해를 최소화하기 위함입니다.MRT(원도우 악성 소프트웨어 제거 도구)를 실행을 하는 방법은 윈..
마이크로소프트는 2026년 3월 패치 화요일 취약점을 해결하기 위해 Windows 10 KB5078885 확장 보안 업데이트를 출시이번 업데이트에는 2개의 제로데이 취약점과 일부 장치의 종료 기능을 방해하는 문제가 포함Windows 10 Enterprise LTSC를 사용 중이거나 ESU 프로그램에 등록된 경우 설정으로 이동하여 Windows 업데이트를 클릭하고 수동으로 업데이트 확인을 수행하여 평소와 같이 이 업데이트를 설치할 수 있습니다.윈도우 10 KB5078885 업데이트 내용Windows 시스템 이미지 관리자: 이 업데이트는 선택한 카탈로그 파일이 신뢰할 수 있는 출처에서 왔는지 사용자가 확인할 수 있도록 경고 대화 상자를 추가파일 기록개선 사항: 제어판의 파일 기록에서 파일을 백업할 때 일부 ..
오늘은 북한 해킹 단체 김수키(Kimsuky) 에서 만든 악성코드인 첨부_거래명세서_1473_260101_260221.lnk 에 대해서 알아보겠습니다.파일명:첨부_거래명세서_1473_260101_260221.lnk사이즈:1 MBMD5:b6473298f559113bdeb4b1676b6f90c0SHA-1:085c3681b187a1fa5684d78a78b061a0214884b5SHA-256:1fd4cdad8d32dc17513b4e4a79f42c9d616e5268d63ed497a43aea0669e50c00악성코드 분석1.주요 항목 설명namestringDocument파일을 문서처럼 보이게 하기 위한 설정AuthorsUser2.relativepath정상 파일 처럼 보이려고 메모장을 가리키고 있습니다.공격자는 자주..
보안 연구원들이 말한 바로는 한때 감시 작전에 활용되던 강력한 아이폰 해킹 프레임워크가 현재 범죄 조직에 의해 사용되어 사용자들의 암호화폐와 민감한 데이터를 탈취하고 있다고 합니다.코루나(Coruna) 로 알려진 이 익스플로잇 키트는 악성 웹사이트를 통해 취약한 아이폰을 침해할 수 있는 다중 익스플로잇 체인을 포함하는 것으로 알려졌습니다.웹킷과 구형 iOS 버전 대상구글 위협 인텔리전스 그룹과 모바일 보안 기업 아이버리파이의 분석에 따르면 해당 프레임워크는 다음을 포함5개의 완전한 익스플로잇 체인23개의 알려진 iOS 취약점애플의 여러 보안 보호 기능을 우회하는 기술이 공격은 모든 iOS 브라우저가 사용하는 브라우저 엔진인 웹킷을 노림이는 단순히 악성 웹 페이지를 방문하는 것만으로도 구형 iOS 빌드를 ..
오늘은 북한 김수키(Kimsuky)에서 만든 스마트폰 악성코드인 app-release.apk 에 대해 간단하게 분석을 해 보겠습니다.파일명:app-release.apk사이즈:2 MBMD5:69a475a90678c538beda96f4d6475334SHA-1:8f1d6de577a72cd7e3ae7ab562ed941588b3c944SHA-256:72d902a067f67efbe9c6c37a8fb08a08e6c3b7124dc03df9293a3c36886a3da6안드로이드 권한안드로이드 권한 설명READ_PRIVILEGED_PHONE_STATE IMEI, SIM 정보 등 민감한 기기 정보 접근REQUEST_IGNORE_BATTERY_OPTIMIZATIONS:배터리 최적화 무시 (백그라운드 계속 실행)POST_NOT..
오늘도 이란 반정부 시위를 악용하는 악성코드인 VID_20260114_000556_609.mp4.lnk 에 대해 글을 적어보겠습니다. 해당 악성코드는 며칠 전에 글을 적은 악성코드하고 비슷합니다.파일명:VID_20260114_000556_609.mp4.lnk사이즈:15 MBMD5:80f0dbb51081fb568943c8f2e6874873SHA-1:2b31c4858157dd37cb061ba8839aa8fd881447a8SHA-256:bd8a48d4dc71552c790a44065cce77c7592f1d00e6cbe904af01f1d164d4dd78악성코드 분석1.숨겨진 PowerShell 실행PowerShell을 숨김 상태(hidden)로 실행목적이야 다 아는 것이고사용자에게 창을 보여주지 않음백그라운드에서..
구글은 퀄컴 디스플레이 구성 요소에 존재하는 제로 데이 취약점을 포함해 총 129개의 안드로이드 보안 취약점을 패치 하는 보안 업데이트를 배포구글은 3월 20일 자 안드로이드 보안 공지에서 CVE-2026-21385가 제한적이고 표적화된 공격 대상이 될 수 있다는 징후가 있다. 고 밝혔습니다.구글은 현재 해당 취약점을 노린 공격에 대해 추가 정보를 제공하지 않았으나 퀄컴은 2월 3일 별도 보안 권고문에서 해당 결함이 그래픽스 하위 구성요소 내 정수 오버플로우 또는 랩어라운드(wraparound)로 로컬 공격자가 이를 악용해 메모리 손상을 유발할 수 있다고 합니다.퀄컴은 이런 고위험 취약점에 대해 12월 18일 구글 안드로이드 보안팀으로부터 통보를 받으며 2월 2일 고객사에 알렸다고 전했고 아직 CVE-2..
오늘은 북한 리퍼(Reaper) 에서 만든 악성코드인 EMD 영수증.lnk 에 대해 글을 적어 보겠습니다.일단 해당 악성코드는 국제법률회사 사이트를 해킹해서 EMD 영수증.pdf 파일 다운로드 해서 미끼를 보여주는 악성코드입니다.파일명:EMD 영수증.lnk사이즈:43 MBMD5:810462c085f90d745de8a253fb883160SHA-1:0e6aaedfc435dabf956cf4878022948098ac934dSHA-256:117d7bed68749479cc96f44d69426a6fa98c2d1d25946235659a800628a20db4입니다.악성코드 분석1.문자열 자르기테이블(lookup table) 기반 난독화 키%maf:~N,1% 는 maf 문자열의 N번째 문자 1개를 가져 오라고 하는 의미가..
해당 악성코드는 2025년 12월 28일부터 이란에서 일어나는 대규모 반정부 시위를 악용해서 만든 악성코드입니다. 악성코드를 실행했을 때 나오는 악성코드 사진 이미지는 2023년 반정부 시위 때 찍은 사진을 도용하고 있습니다.먼저 악성코드 해쉬는 다음과 같습니다.파일명:IMG_20260140_000315_689.exe.lnk사이즈:11 MBMD5:54c4c82d21f7b187f0426a9d0cc9ff2cSHA-1:4e2d070a5511f13adf1499a0dad8db0ba4462879SHA-256:03315debd0c7a253b59a6b447d0673aa3de84103ca3cd4d5b6148c018d90b39b그리고 해당 사진이 찍힌 날짜를 대충 검색해서 보면 이란 테헤란 이란샤르 인근 1월 19일에 촬..
오늘도 간단하게 김수키(Kimsuky) 한국 동서발전 노린 것으로 추정되는 악성코드인 Screenshot 2026-02-24 085012.scr 에 대해 글을 적어보겠습니다.파일명:Screenshot 2026-02-24 085012.scr.exe사이즈:1 MBMD5:d09c0744273355b6da719fdb62923bedSHA-1:364cc871e66afe65e1845205105c3f53f34afc01SHA-256:c089457d5f4b22313b927bb36a320f8d7a1ddb6d5b82293dc2374dcfd4b1b8b2일단 파일 확장자만 보면 SCR(Screensaver)은 화면보호기의 확장자처럼 보이지만 실제로 exe 파일입니다.일단 악성코드는 실행하면 다음과 같이 ewp(한국동서발전) 직원..
오늘도 김수키(Kimsuky) 에서 만든 악성코드인 대국민서비스관리운영체계_현장점검_증적(초안) 위장한 악성코드에 대해 알아보겠습니다. 해당 악성코드는 확장자를 .pif로 만들어져 유포되었으며 이는 EXE 확장자와 같은 실행 가능한 파일입니다. 이런 비슷한 것 분석을 한 것은 안랩 블로그 2021년 국방부 업무보고 수정 문서로 위장한 악성코드 유포라는 악성코드하고 비슷합니다.일단 악성코드 분석 코감기 때문에 대충 하는 걸로 솔직히 IDA 가지고 뜯어보아야 하는 것이 있는데 귀찮아서….파일명:대국민서비스관리운영체계_현장점검_증적(초안).pif사이즈:5 MBMD5:8983ffa6da23e0b99ccc58c17b9788c7SHA-1:01cb397c7f056516be83bef2719925d281a10858SHA..