오늘은 김수키(Kimsuky)에서 만든 msc 파일로 위장하는 악성코드-Skibidi Boilet Master.msc(2024.8.16)애 대해 알아보겠습니다.MSC 파일은 Microsoft 관리 콘솔과 관련된 스냅인 제어 파일입니다.악성코드 해쉬값파일명:Skibidi Boilet Master.msc사이즈:141 KBMD5:e25027c2a3b9e45f0551604453e6f865SHA-1:cb2ca952b8d4a70f9c8cd00265a30d0411e5f5d5SHA-256:b13201957eec1248b3d91f2fd5a0b5d999c0c77644810f4aa28c9ecd0faf8828이며 Microsoft Management Console(MMC) 는 MMC는 단일 인터페이스를 사용하여 여러 서비스를..
AMD는 EPYC, Ryzen 및 Threadripper 프로세서의 여러 세대에 영향을 미치는 SinkClose라는 심각도가 높은 CPU 취약점에 대해 경고 해당 취약점으로 말미암아 커널 수준(링 0) 권한을 가진 공격자가 링-2 권한을 얻고 거의 감지할 수 없는 악성 코드를 설치할 수 있음링 -2는 컴퓨터에서 가장 높은 권한 수준 중 하나이며 링 -1(하이퍼바이저 및 CPU 가상화에 사용됨)과 운영 체제 커널에서 사용되는 권한 수준인 링 0위에서 실행링 -2 권한 수준은 최신 CPU의 시스템 관리 모드(SMM) 기능과 연결SMM은 시스템 안정성에 필요한 전원 관리, 하드웨어 제어, 보안 및 기타 낮은 수준의 작업을 처리높은 권한 수준으로 말미암아 SMM은 운영 체제에서 격리되어 위협 행위자 및 맬웨어의..
마이크로소프트에서 제공하는 운영체제인 윈도우 10,윈도우 11 그리고 마이크로소프트 오피스 프로그램 등 마이크로소프트 제품에 대한 보안 업데이트가 진행이 되었습니다.BitLocker 수정 사항 및 중요 보안 업데이트를 포함하여 14가지 변경 사항 및 수정 사항이 포함 된 보안 업데이트가 진행이 됩니다.Windows 10 KB5041580의 새로운 기능장치를 시작하면 BitLocker 복구 화면이 표시 이 문제는 2024년 7월 9일 업데이트를 설치하고 발생 해당 문제는 장치 암호화가 켜져 있는 로 이동설정->개인 정보 보호 및 보안->장치 암호화 드라이브 잠금을 해제하기 위해 윈도우 에서 Microsoft 계정의 복구 키를 입력하라는 메시지를 표시할 수 있음잠금 화면 해당 업데이트는 CVE-2024-38..
X(트위터)는 언제나 봇 문제가 있었지만 이제 사기꾼들은 일본의 우크라이나 전쟁 및 지진 경고를 활용하여 사용자가 사기 성인 사이트, 악성 브라우저 확장 프로그램 및 그늘진 제휴 사이트로 연결되는 가짜 콘텐츠 경고 및 비디오를 클릭하도록 유도를 하고 있습니다.보기에는 음란물처럼 보이지만 가짜 성인 사이트로 연결되게 하거나 난카이 트로프 대지진 긴급 정보: 앞으로 무엇을 주의해야 할까요? 이라는 제목으로 이지만 가짜 동영상을 표시하는 대신 콘텐츠를 보려면 클릭해야 하는 가짜 X 콘텐츠 경고를 표시합니다.여기서 이야기하는 클릭베이트(clickbait, 낚시 기사)는 사용자의 관심을 끌고 해당 링크를 따라 링크된 온라인 콘텐츠를 읽거나 보거나 듣도록 유도하기 위해 고안된 텍스트 또는 섬네일 링크된 일반적으로 ..
오늘도 우리 이북 오도를 무단 점거를 하는 반국가 단체인 북한 해킹 단체 김수키(Kimsuky) 에서 만든 240903-회국회(정) 제1차 전체회의 의사일정안(결산,안건 상정,현안 보고)2024.8.11에 대해 글을 적어 보겠습니다.대한민국 국회 의사일정 공지를 하나 가져 와서 하려고 한 것을 보니 대충 국회의원과 그 보좌관들을 노린 것이 아닌가 생각이 됩니다. 악성코드 해쉬값 파일명:240903-회국회(정) 제1차 전체회의 의사일정안(결산,안건 상정,현안 보고).chm 사이즈:1.41 MB MD5:f5f5a585a12df9cb406dde6b3e6da23d SHA-1:e7197bb5c5363b56a1e33f333e6613f319458d77 SHA-256:3e0f4eaf3db754160f8c012a9477..
일단 오늘은 북한 해킹 단체 김수키(Kimsuky) 에서 만든 피싱(Phishing)인 연세대학교 웹메일 사이트으로 일단 핵심 피싱 사이트는 알수 없고 피싱 사이트 일부만 확보를 할수가 있어서 유포 주소를 확인할 수가 없으며 그냥 순수하게 그냥 피싱 사이트 파일로 분석을 해보겠습니다.simos(.)onlinesorsi(.)onlinewodods(.)onlinewodods(.)xyzaudko(.)storeavist(.)storenlsie(.)storenusiu(.)live중 하나로 추측이 됩니다. 일단 해당 html 에서 logoFile_1643014429.jpg 분을 알 수가 없어서 어떻게 구성이 돼 있는지 모릅니다. 일단 기본적으로 전체적으로 어떻게 보이는지 모름일단 피싱 사이트 메일 내용은 다음과 같..
모질라 재단에서 제공을 하는 브라우저인 파이어폭스에서 Firefox 129.0(파이어폭스 129.0) HTTPS 및 DNS 개선 및 보안 업데이트가 진행이 되었습니다. Firefox 129.0 Stable과 Firefox 128.1 ESR 및 Firefox 115.14 ESR 업데이트 되었습니다.파이어폭스 129.0 변경 사항리더뷰 개선 리더 보기는 Firefox의 기사에 대한 향상된 가독성을 제공합니다. 방해 요소를 제거하고 일부 사용자 정의 옵션을 포함합니다. 지원되는 기사에서 단축키 F9를 사용하거나 Firefox가 적합한 웹페이지를 발견할 때 주소 표시 줄에 표시되는 리더 모드 아이콘을 활성화하여 실행할 수 있습니다.텍스트 및 레이아웃 메뉴에서는 문자 간격, 단어 간격, 텍스트 정렬 등 더 많은 ..
오늘은 북대서양 조약 기구인 나토(NATO) 사칭 악성코드인 CZ_army_NATO_coeration.zip(2024.8.5)에 대해 글을 적어 보겠습니다. 해당 악성코드는 나토(NATO-OTAN) 즉 북대서양 조약 기구(北大西洋條約機構)는 냉전이 시작된 1949년 집단안전보장조약인 북대서양 조약에 의해 탄생한 북미와 유럽 등 서방 국가들의 군사동맹이며 본부는 벨기에의 수도 브뤼셀에 있으며 당연히 냉전 시대이니까? 바르샤바 조약기구이며 지금은 러시아이며 해당 악성코드에 포함된 파일들의 해쉬값들은 다음과 같습니다.1.The importance of and outlook for the Czech Republic in NATO.pdf.lnk436994d4a5c8d54acb2b521d0847d77e6af6c2c..
오늘은 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 표적 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)에서 만든 것이며 오늘은 다루는 악성코드는 다음과 같습니다.민혜지2(.)jre(2024.7.24) 에 대해 글을 적어보겠습니다. Java 응용 프로그램 실행기를 사용하여 악성코드를 실행하면 코드를 열어보면 난독화 돼 있는 것을 확인할 수가 있습니다.해당 악성코드 해쉬값은 다음과 같습니다.파일명:민혜지2.jse사이즈:17.6 MBMD5:6fba482cb866a3c51dc9063527886f5dSHA-1:97d91cd399b5c4c6f2edd32e1a4211aba9b77f9dSHA-256:06e..
오늘은 글로벌 쇼핑몰 솔루션, 클라우드, 웹호스팅, 서버호스팅, 광고∙마케팅, 도메인 등 다양한 서비스를 원스톱으로 제공하는 대한민국의 글로벌 전자상거래 플랫폼 기업인 카페24 사칭 피싱 메일-xxx 서비스가 차단될 예정입니다.!!(2024.7.24)에 대해 글을 적어 보겠습니다.해당 eml 를 제공해주신 바이올렛 님 감사합니다.일단 해당 메일의 내용은 다음과 같습니다.아침이에요,귀하의 도메인 이름 ???????이 오래된 결제 정보로 말미암아 정지되었습니다. 서비스에 대한 중단 없는 액세스를 복원하려면 직접 결제 링크를 방문하여 결제 정보를 수동으로 업데이트하세요.hxxps://cafe24(.)com/???링크 만료일: 2024년 7월 25일------------------------------- 작성을..
오늘은 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 표적 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)에서 만든 것이며 오늘은 다루는 악성코드는 다음과 같습니다. 짜증 나는 것은 이놈들 북한 식당에 숨어서 만든 작품 인지라~정말 코드가 길다. 개 짜증 난다.파일명:Client.ps1사이즈:33.1 KBMD5:c81ed44799aefb540123159618f7507cSHA-1:fd23177a4481f39fe53a306e2d7fe282cb30a87dSHA-256:87b5a1f79a2be17401d8b2d354c61619ce6195b57e8a5183f78b98e233036062서버 연결while(..
오늘은 북한 해킹 단체 김수키(Kimsuky)에서 만든 피싱(Phishing) 사이트 구글 드라이브로 위장하는 사이트입니다. 사용자 자격 증명 타겟팅 이라고 하면 될 것입니다.피싱(Phishing) 사이트 즉 Google 로그인 페이지로 리디렉션되는 가짜 Google 알림hxxps://gplokio(.)site/drive/?ati=MzM5a3Nk해당 사이트에 접속하면 다음과 같은 메시지를 확인할 수가 있습니다.서버와의 통신이 임시 중단되었습니다.Google에서 서버와의 통신과정에 임시 오류가 발생하였으며 그로 말미암아 Gmail 서비스가 잠시 중지되었습니다. 계속하려면 다시 로그인해주시기 바랍니다. 즉 서버 와의 통신 장애로 되지 않는 로그인 해달라고 하는 것이며 해당 로그인을 하려고 클릭을 하면 다음과..
X(트위터) 본적으로 누구에게도 알리지 않고 회원의 공개 게시물을 사용하여 Grok AI 채팅 플랫폼을 조용히 학습하기 시작했습니다.AI 플랫폼은 우위를 차지하려고 전쟁을 벌이면서 대규모 언어 모델(LLM)을 교육하기 위해 지속적으로 데이터를 찾고 있습니다.그러나 대부분 플랫폼은 허가를 요청하는 대신 귀하 또는 데이터를 가져오는 사이트에 알리지 않고 귀하의 데이터를 사용X는 허가를 요청하거나 변경 사항에 대해 공지하지 않고 사용자의 게시물을 사용하여 조용히 Grok AI 채팅 플랫폼을 훈련하기 시작사용자는 플랫폼에서 귀하의 데이터를 사용할 수 있도록 허용하는 사이트의 개인정보 설정에서 새로운 설정을 7월25일에서 발견설정이 선택되지 않고 기본적으로 활성화되어 있다는 것임현재 사이트의 웹 버전에서만 사용할..
마이크로소프트는 2024년 7월 Windows 보안 업데이트를 설치하고 일부 윈도우 장치가 BitLocker 복구로 부팅될 것이라고 경고BitLocker Windows 보안 기능은 저장소 드라이브를 암호화하여 분실, 도난 또는 부적절하게 폐기된 장치로 말미암은 데이터 도난 또는 정보 노출 위험을 완화Windows 컴퓨터는 하드웨어 및 펌웨어 업그레이드,TPM(신뢰할 수 있는 플랫폼 모듈) 변경 등 다양한 이벤트가 발생하고 자동으로 BitLocker 복구 모드로 전환되어 기본 잠금 해제 메커니즘을 통해 잠금 해제되지 않은 BitLocker 보호 드라이브에 대한 액세스를 복원할 수 있음마이크로소프트는 Windows 릴리스 상태 대시보드에서 2024년 7월 9일에 출시된 2024년 7월 Windows 보안 갱..
오늘은 북한 해킹 단체 Konni(코니) 암호화폐 거래소 빗썸(Bithumb) 정보 업데이트 요청으로 위장한 악성코드- 금융당국 요청에 따른 프로젝트 정보 확인 요청의 건.zip (2024.7.23)에 분석을 진행을 해보겠습니다. 코니 는 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT 37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 그룹은 북한에 본부를 두는 것으로 추정되며 한국과 미국의 정부 기관 및 조직을 표적으로 삼는 것으로 알려졌으며 북한 해커 그룹은 피싱 메시지나 이메일을 통해 Konni RAT를 배포하며 공격자는 Konni RAT를 사용하여 피해자로..
오늘은 카카오 광고 차단하기 위한 호스트 파일 조작 시 위험성에 대해 글을 적어 보겠습니다. 호스트 파일이라는 것은 운영 체제에서 인간 친화적인 호스트 이름을 IP 네트워크에서 호스트를 식별하고 찾는 IP(숫자 인터넷 프로토콜) 주소에 매핑하는 데 사용이 되며 호스트 파일은 컴퓨터 네트워크의 네트워크 노드를 처리하는 여러 시스템 리소스 중 하나이며 운영 체제 IP 구현의 일반적인 부분호스트 파일에는 첫 번째 텍스트 필드의 IP 주소와 하나 이상의 호스트 이름으로 구성된 텍스트 줄이 포함되어 있습니다.컴퓨터에서 도메인 이름을 IP 주소로 변환하는 데 사용되는 작은 텍스트 파일이며 쉽게 말해면 웹사이트 주소를 입력했을 때 어느 컴퓨터로 연결해야 하는지 알려주는 역할을 하게 되는 부분입니다. 최근 유튜브 나 ..
오늘은 북한 해킹 단체 김수키(Kimsuky)에서 만든 피싱(Phishing) 사이트로 고려대학교 지식기반 포털시스템으로 속이는 사이트입니다. 일단 진짜 고려대학교 지식기반 포털시스템 접속을 해보니 진짜 사이트는 접속이 안 되고 인터넷 검색을 돌려 보니 예전에 운영하던 진짜 사이트하고 똑같이 제작이 된 것을 확인할 수가 있었습니다.유포 사이트hxxp://osihi(.)store/korea/Intro(.)kpd(.)html이며 일단 다른 것은 예를 들어서 메일, 연구 포털, 도서관, 여러 가지 증명, 수강신청 등과 같은 것은 진짜 고려대학교 사이트로 넘어가게 작성이 돼 있습니다.그리고 웹 소스를 보면 http로 된 진짜 사이트들이 있는데 그러면 연식이 오래된 피싱 사이트 라는 것을 추측할 수가 있습니다.H..
오늘은 Python(파이썬)으로 만들어진 스틸러(Stealer)인 ud123.bat에 대해 글을 적어 보겠습니다.파이썬은 1991년에 귀도 반 로섬(Guido van Rossum)에 의해 만들어진 인터프리터 프로그래밍 언어이며 현재는 교육용 프로그래밍 언어로 각광 받고 있습니다.일단 해당 악성코드는 스틸러(Stealer) 즉 뺏는 것입니다. 브라우저 접근기록부터 신용카드, 암호화폐 지갑 정보 등의 개인정보 및 신용정보 등을 탈취 정보 유출형 악성코드입니다. 뭐 HEX로 보면 이상한 글자들만 반복만 될 것인데 쭉 내려가면 다음과 같은 결과를 얻을 수가 있습니다.CyberChef 로 보면 다음과 같은 결과를 확인할 수가 있습니다.MD5:f796cce1fb77fe1a71c8b248ced9fac4C:\WINDO..
오늘은 북한 해킹 단체 김수키(Kimsuky)에서 만든 악성코드인 강연의뢰서_근로신청서 관련의 건. docx.lnk(2024.7.9)에 대해 글을 적어 보겠습니다.2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 대상 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체입니다.뭐~전 세계적으로 유명하니까? 해당 설명은 건너 띄고 해당 악성코드는 근로신청서 관련의 건으로 위장하는 악성코드이며 그냥 보면 워드 파일인 것처럼 보이지만 아이콘을 잘 보면 링크 파일인 것을 확인할 수가 있습니다.해쉬값파일명: 근로신청서 관련의 건.docx.lnk사이즈:17.1 KBMD5:21d12dc7f08752293847af6ed19df0e3SHA-1:5..
2024년 1월 윈도우 정기 보안 업데이트 에서 복구파티션이 없을경우 0x80070643 에러를 발생을 하는 문제가 발생을 했습니다.해당 보안 업데이트인 KB5034440 및 KB5034441 은 해커가 BitLocker 암호화를 우회하기 위해 악용할 수 있는 WinRE(Windows 복구 환경)의 보안 취약점을 악용을 하는것을 차단을 하기 위한 보안 업데이트 입니다.여기서 문제는 안전한 OS 동적 업데이트가 추가된 KB5034236에서 수정되었찌만 KB5034440,KB5034441 업데이트에는 버그가 있어 설치에 실패여러 사용자가 수동으로 설치를 시도했지만 실패했습니다. 항상 오류 설치 실패라는 0x80070643 오류가 발생하고 있습니다.여기서 마이크로소프트는 오랫동안 해결되지 않았던 문제를 5월 ..
오늘은 백신프로그램 탐지 회피(기타 보안 제품) 하려고 워드 파일을 PDF 포함하는 MalDoc in PDF에 대해 글을 적어 보겠습니다.MalDoc in PDF로 작성된 파일은 PDF의 매직 넘버나 파일 구조로 되어 있음에도 Word에서 열 수 있는 파일이 되게 돼 있습니다.파일을 Word에서 열면 파일에 Macro(매크로)가 설정되어 있으면 VBS가 작동하고 악성 동작을 수행을 진행합니다.이번에 사용할 악성코드 해쉬값은 다음과 같습니다.파일명:0723Request.doc.zip사이즈:24.8 KBMD5:3c90b82156211c30cb2db8c7d569f3adSHA-1:7dc6ea6c156186b57d422038a37d633d3a605379SHA-256:75385dfea84ed375f6f5d0cfe9..
모질라 에서 제공하는 브라우저인 파이어폭스 브라우저에 대한 파이어폭스 128(Firefox 128) 보안 업데이트가 진행이 되었습니다.이번 보안 업데이트 에서는 새로운 기능과 그리고 브라우저 버전에는 새로운 번역 기능, 통합된 사용자 데이터 삭제 대화 상자 등을 포함하여 다양한 새로운 기능과 개선 사항이 도입되었습니다. 안드로이드 버전 에서는 Firefox는 버전 128, Firefox Beta 및 Dev는 버전 129, Firefox Nightly는 버전 130으로 각각 변경이 됩니다.파이어폭스 128.0 변경 사항번역 개선Firefox 번역은 이제 텍스트 및 하이퍼링크 텍스트 선택을 번역할 수 있음실행 방법Firefox에서 텍스트를 선택하세요.선택 항목을 마우스 오른쪽 버튼으로 클릭하세요.상황에 맞는..
마이크로소프트에서 제공하는 운영체제인 윈도우에 대한 각각 KB5040427, KB5040442 보안 업데이트가 진행이 되었습니다.Windows 10 KB5040427의 새로운 기능해당 업데이트에는 총 13개의 수정 사항 또는 변경 사항이 포함되어 있음윈도우 설치 프로그램, 응용 프로그램을 복구할 때 UAC(사용자 계정 컨트롤)는 자격 증명을 묻는 메시지를 표시하지 않으며 해당 업데이트를 설치하면 UAC에서 해당 업데이트를 묻는 메시지를 표시합니다. 이로 말미암아 자동화 스크립트를 업데이트해야 할 수도 있습니다. 방패 아이콘을 추가하면 됩니다. 이는 프로세스에 전체 관리자 액세스가 필요함을 나타냅니다.UAC 프롬프트를 끄려면 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsof..
오늘은 윈도우 11 개인정보 보호를 도와주는 프로그램인 Win11PrivacyFix 에 대해 글을 적어 보겠습니다.Abelssoft의 Win11PrivacyFix는 Windows 11 PC를 제어하고 Microsoft와 공유할 정보 사용자가 결정할 수가 있는 프로그램입니다.Windows 11에는 Microsoft와 데이터를 공유할 수 있는 기본 설정이 있으며 Windows 10이 출시된 이후 아니 그 이전에도 개인 정보 보호에 대한 많은 논쟁이 있었고 소프트웨어 회사가 이를 제시하는 이유는 고객의 경험을 향상시키는 목적입니다.Windows 11은 백그라운드에서 Microsoft 서버와 많은 정보를 공유하며 대부분은 데이터는 사용자의 이익을 위해 전송되지만 많은 사람이 자신의 개인 정보 보호에 대해 우려하..
OpenAI의 Mac 용 ChatGPT(쳇GPT) 앱이 채팅 내용을 일반 텍스트로 저장하고 있음을 발견 인기 있는 챗봇의 데스크톱 앱이 사용자가 챗봇과 나눈 대화를 일반 텍스트 형식으로 로컬 저장소에 저장하고 있음을 밝히려고 Threads에 자신의 연구 결과를 Pedro José Pereira Vieito는 게시Mac용 ChatGPT는 대화를 일반 텍스트로 저장보안에 매우 관심이 있는 Pedro José Pereira Vieito는 6년 전 출시된 macOS Mojave 10.4 이후 macOS가 다른 앱이 사용자 데이터를 스누핑하는 것을 차단해 왔다고 지적을 했습니다.Vieito는 문제의 앱이 샌드박스 처리된 경우 macOS가 다른 앱이 채팅에 액세스하도록 허용해서는 안 된다고 했으며 보다 구체적으로 ..
Twilio 에서 제공하는 Authy의 2단계 인증(2FA) 서비스가 전화번호를 확인하기 위해 API를 악용되었습니다.Twilio는 보안 되지 않은 API 엔드포인트 를 통해 위협 행위자가 수백만 명의 Authy 다단계 인증 사용자의 전화번호를 확인할 수 있게 하여 이들이 잠재적으로 SMS 피싱 및 SIM 스와핑(유심 스와핑) 공격에 취약해질 수 있습니다.Authy는 MFA가 활성화된 웹 사이트에서 다단계 인증 코드를 생성하는 모바일 앱ShinyHunters라는 위협 행위자는 Authy 서비스에 등록된 3,300만 개의 전화번호가 포함된 CSV 텍스트 파일을 유출했습니다.Authy 고객은 자신의 전화번호가 유출 내용에 포함되어 있으면 조회할 수 없습니다. 위협 행위자는 전화번호만으로는 아무것도 할 수 없..
Windows 11에 광고가 쏟아지고 있습니다. 이제 운영 체제의 Microsoft 날씨 앱에 더 많은 광고가 표시됩니다.1년 전 마이크로소프트가 실제로 앱 에서 광고를 제거했고 마침내 사용자들의 피드백을 들은 것으로 나타났습니다.하지만, 귀찮은 배너가 다시 나타나서 이제 예측 페이지에 그 중 두 개가 표시됩니다. 모르시는 분들을 위해 말씀드리자면 이전 버전의 Microsoft Weather는 UWP 앱이었지만 회사에서는 이를 Edge 엔진을 사용하는 컨테이너인 Edge WebView로 교체했습니다. 즉, 날씨 앱은 기술적으로 msn(.)com/weather 의 웹 래퍼일 뿐입니다. 이를 직접 테스트할 수 있습니다. 브라우저에서 웹사이트를 열고 일시적으로 광고 차단기를 비활성화하여 광고를 살펴보세요. 이..
오늘도 우리 북한의 해킹 그룹인 Konni(코니) 에서 우리 국세청으로 속여서 만든 악성코드인 부가가치세 수정신고 안내(부가가치세사무처리규정).hwp(2024..6.27).lnk에 대해서 알아보겠습니다.2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT 37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 그룹은 북한에 본부를 두는 것으로 추정되며 한국과 미국의 정부 기관 및 조직을 표적으로 삼는 것으로 알려졌으며 북한 해커 그룹은 피싱 메시지나 이메일을 통해 Konni RAT를 배포하며 공격자는 Konni RAT를 사용하여 피해자로부터 정보를 수집하고, 스크린 샷을 캡..
오늘은 가짜 윈도우 보안 경고로 사람을 낚아서 금전적 이득을 취하는 피싱 사이트 criticalfuckdedicated(.)s3(.)ap-southeast-1(.)amazonaws(.)com(2024.6.3)에 대해 글을 적어 보겠습니다.피싱 보다는 일단 해당 스캠(Scam) 이라고 생각을 하면 쉽게 사용자를 속이는 신용 사기로 보는 쪽이 나을 것 같습니다. 사기 치는 방식은 간단합니다.사이트에 보면 전화번호가 있으며 해당 번호로 전화를 걸면 이제 해당 언어에 맞게 담당자가 나와서 여기 마이크로소프트 공식 기술 지원팀입니다. 라고 답변을 할 것이고 제가 화면에 이렇게 저렇게 나오고 에러 코드 2V7HGTVB 이 나와야 하면 OK 한 놈 낚았다. 라면서 작업을 할 것입니다.장치에 대한 원격 액세스 를 제공..
오늘은 우리 북한 해킹 단체 김수키(Kimsuky)에서 만든 악성코드인 강연의뢰서_엄x호 교수님.docx.lnk(2024.6.4)에 대해 글을 적어 보겠습니다. 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 대상 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체입니다. 뭐~전 세계적으로 유명하니까? 해당 설명은 건너 띄고 해당 악성코드는 한양대학교 서울캠퍼스 국제학부 교수이신 분을 대상으로 한 것 같고 제목 보니까 강연의뢰서라고 돼 있는 것이 워드 파일인 것처럼 해서 해당 교수님에게 강연 의뢰서인 것처럼 해서 해킹을 시도하는 것 같습니다. 악성코드 해쉬값 파일명:강연의뢰서_엄x호 교수님.docx.lnk.lnk 사이즈:1.0..