오늘은 인도를 겨냥한 공격 추정되는 Crimson RAT 에서 만든 악성코드인 122.docm(2023.10.03)에 대해 글을 적어 보겠습니다. 해당 악성코드 인도를 겨냥한 공격으로 추정되며 악성 DOCM 문서의 내용은 인도 마드리드대학교의 수학, 과학, 기술 내용을 다루고 있으며 사용자가 악성코드가 포함된 열며 워드가 실행되고 VBA 코드가 실행되며 문서에는 bin 파일이 내장되어 있습니다. 크림슨랫(Crimson RAT) 2017년에 처음 발견된 이후 전 세계 조직을 공격하는 데 사용되었습니다. 악성 코드는 피싱 이메일을 통해 배포되거나 오래된 보안 소프트웨어의 취약점을 악용하여 배포되는 경우가 많습니다. 최근에는 주로 인도의 군사 및 외교 분야를 대상으로 공격하는 캠페인을 진행하고 있습니다. 악성..
오늘은 워드 매크로 악성코드인 긴급 공지.docm(2023.09.13)에 대해 글을 적어 보겠습니다. 해당 워드 악성코드는 매크로로 된 악성코드이면 오래간만에 매크로 된 악성코드를 분석하는 것 같습니다. 일단 docm 형식인 것을 보면 아마도 워드로 된 악성코드를 실행하고 생성된 파일이지 않을까 생각이 됩니다. 물론 이것은 사견입니다. 먼저 해당 악성코드의 해쉬값은 다음과 같습니다. 파일명: 긴급 공지.docm 사이즈:60.2 KB MD5:87a45adfcd1f9c84a2785823e785e84a SHA-1:97b5bd767f3cea557ff3fa4f5e79b55c30e54c4d SHA-256:94f2f4bb4c2a26394d1e23a8dd24cd603ed89d76ee2c73ab9506b71ecf8859..
오늘은 엑셀로 구성된 악성코드인 DETAIL OF DEPENDENTS(2023.02.14)에 대해 글을 적어보겠습니다. 일단 해당 악성코드는 기본적으로 엑셀로 돼 있으며 해당 엑셀을 실행하면 해당 악성코드는 매크로를 사용할지 말지 물어보면 매크로를 실행하면 해당 악성코드가 실행되는 방식입니다. 일단 악성코드 해쉬값은 다음과 같습니다. 파일명:DETAIL OF DEPENDENTS.xlsm 사이즈:59.9 KB CRC32:b605e4b6 MD5:f423d947f048a13373989185650a7562 SHA-1:c4a7747c552d77cccb5182a73a72d4c4e4018120 SHA-256:e7d2d26cc056b607b7af96cc08d66a168555afc38cf29b37729f4b90141fa..
오늘은 북한 해킹 조직 중 하나인 김수키(Kimsuky,キムスキー)는 기본적으로 한국의 싱크탱크,산업계,원자력 발전소 그리고 대북 관계자, 그리고 탈북단체에서 운영하는 주요인물을 대상으로 조직적으로 해킹하고 있으며 한국의 퇴역 장교(특히 대북 기밀 다루었던 분), 전·현직 외교관, 전·현직 정부기관에 일하고 있든 일을 하고 있지 않든 아무튼 대북 관련 단체이며 해킹을 하고 있으며 그리고 최근 영업이 러시아, 미국 및 유럽 국가로 확장하고 있으며 김수키 라는 이름은 이 그룹의 공격을 처음 보고한 러시아의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직 ..
오늘은 북한 해킹 조직 중 하나인 김수키(Kimsuky,キムスキー)는 기본적으로 한국의 싱크탱크,산업계,원자력 발전소 그리고 대북 관계자, 그리고 탈북단체에서 운영하는 주요인물을 대상으로 조직적으로 해킹하고 있으며 한국의 퇴역 장교(특히 대북 기밀 다루었던 분), 전·현직 외교관, 전·현직 정부기관에 일하고 있든 일을 하고 있지 않든 아무튼 대북 관련 단체이며 해킹을 하고 있으며 그리고 최근 영업이 러시아, 미국 및 유럽 국가로 확장하고 있으며 김수키 라는 이름은 이 그룹의 공격을 처음 보고한 러시아의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직 ..
오늘은 상여금 계산 엑셀 파일로 위장한 악성코드인 상여금처리산식. xls에 대해 알아보겠습니다. 상여금(賞與金)이라는것은 정기적으로 지급되는 급여 이외의 급여를 말하면 여기서 정기적으로 지급되는 급여는 일급,주급,월급과 같이 일정한 기간(일반적으로 월)을 단위로 하여 규칙적, 반복적으로 지급되는 급여를 의미합니다. 오늘은 이런 상여금을 계산을 도와준다고 해서 해당 악성코드의 해쉬값은 다음과 같습니다. 파일명:상여금처리산식.xls 사이즈:44.5 KB CRC32:9c36c9ef MD5:8452e1ad98dc9d446e3ce39214777a96 SHA-1:fb822f69195dff9b9127c977560a9234fdcb2c04 SHA-256:b3888bd2d679a9188b526dcae775e5834e726..
오늘은 북한 해킹 단체 Konni(코니) 즉 김수키(Kimsuky)와 연관된 북한 해킹 그룹 이며 Konni는 2014년 초부터 발견되었고 Konni 은 2012년부터 활동한 북한의 사이버 스파이 그룹인 APT37 과 잠재적으로 연결되어 있으며 해킹의 목표가 되는 희생자는 한국(남한)의 정치인, 북한 관련 종사자 또는 대북 관련 업무 맡는 분 및 일본, 베트남, 러시아, 네팔, 중국, 인도, 루마니아, 쿠웨이트 및 기타 중동 지역을 타켓으로 하고 있으며 이번 악성코드는 워드에 매크로로 작동하는 악성코드이며 제목은 카뱅과 손잡은 코인원_비트 독주 체제 무너뜨릴까? 라는 제목으로 돼 있으며 기본적으로 한국의 경제 주간지 이코노미스 에서 발간하는 경제 주간지 이코노미스트의 2022.09.03 07:05 에 작..
오늘은 요즈음 뉴스 틀며 나오는 나토(NATO-OTAN) 북대서양 조약 기구를 공식 문서인 것처럼 사용자 컴퓨터를 공격하는 매크로 악성코드인 New measures for medical assistance from NATO Trust Fund.doc(2022.09.21) 에 대해 글을 적어 보겠습니다. 해당 제목을 굳이 구글 번역기로 돌려서 번역을 해보면 NATO 신탁 기금의 의료 지원을 위한 새로운 조치 같은 제목으로 된 것을 확인할 수가 있으며 내용은 다음과 같이 시작을 합니다. We agreed that the consequences of the war are catastrophic. In particular, the number of people with disabilities (including..
오늘은 북한 해커 단체인 김수키(Kimsuky)가 러시아 외부무를 공격을 하기 위한 만든 악성코드인 _Pyongyang in talks with Moscow on access to Donbass에 대해 알아보겠습니다. 해당 악성코드는 북한 김수키(Kimsuky)에 의해서 제작이 된 악성코드로 심양 러시아 총영사관 계정을 사용하여 일본 러시아 총영사관에 추가 공격을 하려고 제작된 악성코드로 추측되면 해당 악성코드는 Donbass.zip 로 파일로 압축이 되어져 있으며 압축 파일에서는 2개의 파일이 존재하고 있습니다. _Pyongyang in talks with Moscow on access to Donbass.pptx Donbass.ppam PPTX 파일은 Microsoft PowerPoint Open X..
오늘은 악성코드 VBA 매크로 비밀번호 푸는 방법에 대해 글을 적어 보겠습니다. 해당 글에 관심 있으신 분들은 2가지 분류가 아닐까 생각이 됩니다. 첫 번째는 VBA 에 암호를 걸어 놓았는데 잊어버려서 아니면 악성코드 분석하는데 악성코드 제작자가 VBA 에다가 암호를 걸어 놓아서 분석을 방해하기 위해서 이걸 해제하기 위해서 일 것입니다. VBA 이라는 것은 Visual Basic for Applications의 약자로 Microsoft Office(마이크로소프트 오피스)에 내장된 프로그래밍 언어이며 주 용도는 매크로를 돌리고 사용자 정의 함수를 사용하는 것으로 컴퓨터활용능력 1급을 시험을 보시는 분들에게는 반드시 알아야 한다고 알고 있습니다. 물론 손재주가 좋으신 분들은 긍정적으로 게임을 만드는 것을 시..
오늘은 특정 논문을 이용한 악성코드가 삽입된 워드 문서로 위장하는 악성 워드입니다. 먼저 북한에서 해커 조직이라고 하면 김수키(Kimsuky=탈륨(Thallium),라자루스(Lazarus)가 있습니다. APT 조직이 지난 2017년 시스코 탈로스를 통해 알려진 코니 조직과 같은 C2 인프라 이용을 해서 가상 화폐를 훔치는 수법을 사용하고 있으면 김수키(Kimsuky=탈륨(Thallium)은 지난 2015년 도에서는 한수원 자료 유출한 원전 반대 그룹 이름으로 2015년 12월 25일에는 한국 원자력 발전소(핵발전소)를 파괴를 하겠다고 했던 그룹입니다. 지금도 꾸준히 한국의 특정 정치 단체, 특정 단체,피싱 같은 걸로 개인정보를 수집하고 있습니다. 해당 내부에서는 악의적으로 만든 악성 매크로 존재를 하고 ..
오늘은 윈도우 10 게임핵 차단 기능인 TruePlay 활성화 방법에 대해 알아보는 시간을 가져 보겠습니다.일단 게임핵이라는 것은 메모리 에디터 프로그램으로써 일단 게임핵은 메모리의 값을 나열해 주며 동시에 여러개의 메모리 중에서 수정 및 고정을 하게 해주는 프로그램입니다.그리고 게임 핵은 게임 내 해킹 프로그램으로 프로그램을 해킹을 하여 게임의 기본적인 동작과 무관하게 게임을 수행을 해서 자신에게 유리하게 게임을 진행을 해서 정상적으로 게임을 진행을 하는 사람들에게 피해를 주는 프로그램입니다.우리가 흔히 말을 하는 맵핵,스피드핵등이 이런 해킹프로그램이라고 생각을 하시면 됩니다.특히 슈팅 게임에서는 월핵,자동조준을 해주는 에임봇,총알속도를 빠르게 해주는 거나 하는 등이면 특히 배틀그라운드 같은 경우에는 ..
지난 2017년12월28일에 전 세계적으로 유럽과 미국에 수만 대의 컴퓨터를 감염을 시키고 비트코인을 요구했던 랜섬웨어 제작자들이 검거가 되었다는 소식입니다. 유로 폴(Europol)은 루마니아, 네덜란드, FBI 및 법 집행 기관이 동루마니아의 6개 집을 수색하고 5명을 체포했다고 합니다. 해당 검거작적에서는 상당량의 하드 드라이브, 외부 저장 장치, 랩톱, 암호 해독 광업 장치, 수많은 문서 및 수백 개의 SIM 카드를 압류했다고 합니다. 다만, 5명의 용의자 모두가 악명 높은 ransomware 을 개발하거나 유지하는 것으로 체포된 것이 아니라 CTB Locker와 Cerber를 전염시켰다는 점입니다. 아마도 중간책인 것 같습니다. 일단 CERBER 랜섬웨어 경로는 주로 스팸 메일을 통해서 감염이 ..