오늘은 북한 해킹 단체 김수키(Kimsuky)에서 만든 악성코드인 강연의뢰서_근로신청서 관련의 건. docx.lnk(2024.7.9)에 대해 글을 적어 보겠습니다.2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 대상 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체입니다.뭐~전 세계적으로 유명하니까? 해당 설명은 건너 띄고 해당 악성코드는 근로신청서 관련의 건으로 위장하는 악성코드이며 그냥 보면 워드 파일인 것처럼 보이지만 아이콘을 잘 보면 링크 파일인 것을 확인할 수가 있습니다.해쉬값파일명: 근로신청서 관련의 건.docx.lnk사이즈:17.1 KBMD5:21d12dc7f08752293847af6ed19df0e3SHA-1:5..
오늘은 우리 북한 해킹 단체 김수키(Kimsuky)에서 만든 악성코드인 강연의뢰서_엄구호 교수님.docx.lnk(2024.6.4)에 대해 글을 적어 보겠습니다.2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 대상 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체입니다.뭐~전 세계적으로 유명하니까? 해당 설명은 건너 띄고 해당 악성코드는 한양대학교 서울캠퍼스 국제학부 교수이신 분을 대상으로 한 것 같고 제목 보니까 강연의뢰서라고 돼 있는 것이 워드 파일인 것처럼 해서 해당 교수님에게 강연 의뢰서인 것처럼 해서 해킹을 시도하는 것 같습니다.악성코드 해쉬값파일명:강연의뢰서_엄구호 교수님.docx.lnk.lnk사이즈:1.01 MBM..
오늘은 북한의 해킹 그룹인 Konni(코니)로 추정이 되는 2024년 북한인권 민간단체 전략활동 지원사업 신청서.lnk에 대해 글을 적어 보겠습니다. 일단 해당 악성코드의 해쉬값은 다음과 같습니다.파일명:2024년 북한인권 민간단체 전략활동 지원사업 신청서.lnk사이즈:33.0 MBMD5:cfffb45df8f05d1cb5d9d95fd5a83e9eSHA-1:4f069b3c3d4ecf90a7f8a3836ac957dfcd90e944SHA-256:00b6a18a47bdecbf3f97e0a9188e0080a59d87beb4002e8775b036ddee978d37일단 해당 파워셀에 포함된 코드는 다음과 같습니다./c Set a4qw7afej=etodrpyswhnli && call %a4qw7afej:~5,1%(%)..
오늘은 북한 해킹 단체 Reaper(리퍼)에서 만든 악성코드에서 만든 악성코드인 인문사회분야 박사과정생 연구장려금지원 신청자격 요건 확인서.hwp(2024.5.24)에 대해 글을 적어보겠습니다. 일단 Reaper 또는 Group123 이라고 부르고 있고 Reaper(리퍼) 라고 부르는 APT 공격 단체이며 2012년부터 활동을 시작했고 정보 수집, 정찰 및 사이버 스파이 활동을 목적으로 하며, 정부, 군사, 대기업, 인권 단체를 대상으로 하고 있으며 즉 한국의 외교 및 국내 문제에 초점이 맞추어져 있으며 일본, 베트남, 중동 및 기타 지역의 기업을 대상으로 해서 회사 기밀 등을 탈취하고 있습니다. (화학, 전자, 제조, 항공 우주, 자동차, 의료)APT37,Inky Squid,RedEyes,ScarCru..
오늘도 우리 북한의 해킹 그룹인 Konni(코니)에서 만든 악성코드인 김명희_20240515.xlsx(2024.5.16)ㅇ에 댛패 글을 적어 보겠습니다. 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 그룹은 북한에 본부를 두고 있는 것으로 추정되며 한국과 미국의 정부 기관 및 조직을 표적으로 삼는 것으로 알려졌으며 북한 해커 그룹은 피싱 메시지나 이메일을 통해 Konni RAT를 배포하며 공격자는 Konni RAT를 사용하여 피해자로부터 정보를 수집하고, 스크린샷을 캡처하고, 파일을 훔치고, 원격 대화형 셸을 구축..
오늘은 북한의 해킹 그룹인 Konni(코니)에서 만든 악성코드인 xx 토큰 유통량 및 락업 스케줄(2024.5.13)에 대해 글을 적어 보겠습니다.2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행합니다.일단 xxx 토큰에 대해 검색을 해보니 블랙웨일은 디파이 ETF 프로젝트 비트코인 형물 ETF 이라고 하는데 개인적으로 가상화폐(암호화폐)에 대해 그다지 지식이 없는 관계로 통과 하고 글을 적어보겠습니다.악성코드 해쉬값파..
2023년 11월에 690억 달러라는 엄청난 규모의 거래로 VMware를 인수 한 Broadcom은 가정용 사용자에게 데스크톱 하이퍼바이저 제품을 무료로 제공한다고 발표VMware Fusion Pro 13 및 Workstation Pro 17은 이제 개인 용도로 무료로 제공여기서 VMware 이라는 것은 VMware 는 컴퓨터 가상화 소프트웨어 등 각종 제품을 생산하는 기업이며 x86 아키텍처 가상화 시장을 가장 먼저 개척하며 초기 산업 형성을 주도하드웨어 레벨 가상화 위주이다. 즉 Sandboxie처럼 OS 상단에서 작동하는 가상화 제품은 없다고 알려져 있는데 해당 제품은 VMware ThinApp 입니다. 보통은 악성코드 분석을 할 때 버추얼 박스 하고 사용을 하기도 합니다. 뭐~옛날 게임 등을 돌릴..
오늘은 북한 해킹 단체 Konni(코니) 에서 만든 악성코드인 북한 내부정보시장통제 관련 내부 동향 및 물가.hwp.lnk(2024.4.4)에 대해 글을 적어 보겠습니다. 해당 악성코드는 hwp 즉 한글과 컴퓨터에서 만든 HWP 첨부 파일처럼 돼 있는 lnk 파일이며 해당 악성코드를 hwp 즉 한글과 컴퓨터에서 만든 HWP 로 생각을 하고 실행을 하면 PowerShell(파워셀)를 통해서 해당 악성코드가 동작하게 구성이 돼 있습니다. 먼저 해당 악성코드의 해쉬값은 다음과 같습니다. 파일명: 북한 내부정보시장통제 관련 내부 동향 및 물가.hwp.lnk 사이즈:161 KB MD5:3334d2605c0df26536058f73a43cb074 SHA-1:ebcd247c5ff2babe6ad1f001b48275493..
오늘은 교통위반 벌점 처분고지서 경찰 민원 모바일 피싱 사이트 인 yr(.)an1p(.)art 에 대해 글을 적어 보겠습니다. 교통범칙금 통지 문자 사칭해서 스마트폰 개인정보를 빼가는 악성코드인. 경찰청 교통민원 24(이파인),경찰 민원 모바일에 대해 알아보겠습니다. 일단 기본적으로 해당 스미싱 공격은 기본적으로 너 교통범칙금 있으면 여러 가지 문자형식으로 이파인을 사칭을 하고 있습니다. 휴대폰 전화번호 적는 곳 나왔지만, 최근에는 그냥 휴대폰 전화번호 없이 사용자가 다운로드 하게 돼 있습니다. 설치 순간 스마트폰의 개인정보를 빼가는 방식을 사용하고 있습니다. 일단 해당 문자 내용은 다음과 같습니다. [Web 발신] [교통민원24]법규위반과속운자동차벌점보고서 [Web 발신][교통민원 24] 교통법규위반행..
오늘은 북한 해킹 단체 Reaper(리퍼)에서 만든 악성코드인 제20대_대통령선거_선거권자_개표참관인_공개_모집(최종).hwp(2022.8.15)에 대해서 글을 적어 보겠습니다. Reaper 또는 Group123 이라고 부르고 있고 Reaper(리퍼) 라고 부르는 APT 공격 단체이며 2012년부터 활동을 시작했고 정보 수집, 정찰 및 사이버 스파이 활동을 목적으로 하며, 정부, 군사, 대기업, 인권 단체를 대상으로 하고 있으며 즉 한국의 외교 및 국내 문제에 초점이 맞추어져 있으며 일본, 베트남, 중동 및 기타 지역의 기업을 대상으로 해서 회사 기밀 등을 탈취하고 있습니다. (화학, 전자, 제조, 항공 우주, 자동차, 의료) APT37,Inky Squid,RedEyes,ScarCruft,Ricochet..
오늘은 우리 북한?? 에서 국제적으로 해킹해서 개인정보 및 가상화폐(암호화폐) 등을 수집하기 위해서 해킹을 하는 해킹 단체이고 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)에서 만든 202404주중대사관 정책간담회.rar(2024.3.29)에 대해 글을 적어 보겠습니다. 일단 해당 악성코드는 私見(사견)으로는 먼저 주중대사관 또는 대사관에 일하는 분들인 외교관 또는 고위급인 한나라를 대표하여 다른 나라에 파견되는 외교관인 대사(Ambassador) 또는 제5조의2(대외 직명의 지정) 대통령은 정부대표 또는 특별사절에 대하여 필요하다고 인정하는..
오늘은 최근에 러시아 우크라이나 전쟁 러시아에서는 특수군사작전(최근 전쟁으로 변경하는 것 같음)에서 러시아 지원을 받는 해커 집단인 가마레돈(Gamaredon)은 최근 이번 전쟁에서 우크라이나 정부 기관에 침투해서 상당량의 정보를 빼오는 스파이 활동을 성공적으로 수행하고 있으며 러시아 정보총국(GRU) 산하의 해킹그룹 74455 부대도 가담을 하고 있습니다. 일단 악성코드는 문서로 돼 있으며 가마레돈(Gamaredon)에서 만들어 아마도 우크라이나 정부를 상대로 공격하는 것을 추측됩니다. 해당 악성코드는 보고서라고 돼 있고 마치 보고서를 보낸 것처럼 해서 공격을 수행합니다. 악성코드 해쉬값은 다음과 같습니다. 파일명:11D5421C.doc 사이즈:70.0 KB MD5:ae23f779e9c36219f83b..
오늘은 부고 알림 부모님 별세를 악용한 스미싱 사이트인 초대장12(.)korean100(.)com 에 대해 알아보겠습니다. 해당 스미싱 사이트는 일단 문자는 다음과 같이 옵니다.2024.1.28존경하신 아버님께서 오랫동안 투병 하시다 별세하셨음을 안애드립니다.장례식장[부고]아버님께서 숙환으로 금일 별세하셨기에 삼가 알려 드립니다 선생님께서 숙환으로 1월11일 새벽2시 별세하셨기에 삼가 알려드립니다. 시간 장소사랑하는 부친께서 금일 별세하였기에 삼가 알려듭립니다.장례식장喪報 (상보)발인:05월2일[노환으로]아버님께 별세하셨기에 알립니다. 주소:[Web발신] 쓰레기무단투기 신고접수 되었습니다. 내용확인:[Web발신] 폐기물무단투기 신고접수 되었습니다. 내용확인[*정부24] 음식물분리수거 위반으로 민원신고되었..
오늘은 주문 확인으로 위장한 악성코드인 주문 확인.doc(2024.1.25)에 대해 글을 적어보겠습니다. 해당 악성코드는 cve-2017-11882,CVE-2018-0802 취약점을 악용을 하는 악성코드이며 RTF 형식으로 된 문서 악성코드입니다. 해당 악성코드는 EQNEDT32.EXE 즉 문서에 방정식을 삽입하거나 편집할 때 사용하는 수식편집기를 악용해서 작동하는 취약점으로 그냥 윈도우 업데이트를 통해서 마이크로소프트 오피스 프로그램을 업데이트를 하면 해결되는 취약점이며 해당 악성코드 해쉬값은 다음과 같습니다. 파일명:주문 확인.doc 사이즈:96.6 KB MD5:f57fa515afb84f034b5025cf597c2ab4 SHA-1:581858440b05d422a386cf7f36e974f82ab3e3e..
오늘은 북한 해킹 단체 Konni(코니) 에서 특허 수수료 납부 확인증 위장한 악성코드-PaymentConfirmation.chm(2023.12.29)에 대해 글을 적어 보겠습니다. 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행합니다. 보통은 한글과 컴퓨터에서 만들어서 배포하는 포멧인 hwp에서는 악성코드가 없겠지 생각을 하지만 해당 포멧을 자주 이용하고 있으며 먼저 압축 파일 해쉬값은 다음과 같습니다. 파일명:Pa..
오늘은 인도를 겨냥한 공격 추정되는 Crimson RAT 에서 만든 악성코드인 122.docm(2023.10.03)에 대해 글을 적어 보겠습니다. 해당 악성코드 인도를 겨냥한 공격으로 추정되며 악성 DOCM 문서의 내용은 인도 마드리드대학교의 수학, 과학, 기술 내용을 다루고 있으며 사용자가 악성코드가 포함된 열며 워드가 실행되고 VBA 코드가 실행되며 문서에는 bin 파일이 내장되어 있습니다. 크림슨랫(Crimson RAT) 2017년에 처음 발견된 이후 전 세계 조직을 공격하는 데 사용되었습니다. 악성 코드는 피싱 이메일을 통해 배포되거나 오래된 보안 소프트웨어의 취약점을 악용하여 배포되는 경우가 많습니다. 최근에는 주로 인도의 군사 및 외교 분야를 대상으로 공격하는 캠페인을 진행하고 있습니다. 악성..
로그 라이크 카드 게임으로 인기 있는 Slay the Spire(슬레이 더 스파이어) 인디 전략 게임의 팬 확장 프로그램인 Downfall은 Steam 업데이트 시스템을 사용하여 Epsilon 정보 도용 악성 코드가 발견되었습니다. 지난 크리스마스 시점에 무료 팬 메이드 모드인 '다운폴(Dwonfall)' 개발자의 스팀 계정이 탈취당해 개인정보 탈취를 위한 입실론 정보 탈취기(Epsilon Information Stealer)가 포함된 상태로 배포되는 사고가 발생했습니다. 해당 악성코드 해쉬값은 다음과 같습니다. MD5:4F4256490930DAF189251289007E0224 SHA1:0658A45EEADB8718B3A406EBD80F3AE732697DB4 SHA256:1C366D053016F213FF..
오늘은 북한 해킹 단체 Konni(코니) 에서 만든 악성코드인 주요도시 시장가격 조사 2023.xlsx.bin(2023.12.29)에 대해 글을 적어 보겠습니다. 해당 악성코드는 파일명:주요도시 시장가격 조사 2023.xlsx 사이즈:35.4 KB MD5:28d25a4021536394fd890c4b6d9b5551 SHA-1:39c97ca820f31e7903ccb190fee02035ffdb37b9 SHA-256: 44365e0bcd77f1721d061dc03dd3c1728ad36671ad294ec7b2cf088b1bbefd23 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT 37과 관련된 해킹 ..
오늘은 NjRat .NET Trojan 악성코드인 file.exe(2023.12.13)에 대해 분석을 간단하게 글을 적어 보겠습니다. 해당 악성코드인 NjRat인 njRAT(Bladabindi 라고도 함)는 프로그램 소유자가 최종 사용자의 컴퓨터를 제어할 수 있도록 하는 사용자 인터페이스 또는 트로이 목마가 포함된 원격 액세스 도구입니다. 2013년 6월에 처음 발견되었고 국내에서는 웹 하드, 토렌트 등에서 게임 또는 성X물, 파일 공유 사이트를 통해서 유포되고 있으며 웹 하드 쪽에서는 성인 게임을 위장한 악성코드가 포함돼 있으며. NET으로 구성이 돼 있는 것이 특징이며 jRAT은 RAT(Remote Administration Tool), 중동 해커 그룹 사이에서 인기가 많아 주로 사용했던 해킹 툴 입..
오늘은 디지털 마케팅 디렉터로 위장 하고 있는 Ducktail 계열 악성코드인 Income and benefits of Digital Marketing Director Ralph Lauren 2023(.)lnk 에 대해 알아보겠습니다. 악성코드 해쉬값 파일명:Income and benefits of Digital Marketing Director Ralph Lauren 2023.lnk 사이즈:13.3 KB MD5:11ffcde18989ce6d16e897423e84763d SHA-1:29fc79a30a30134c43ace32eebd20d9f1e5d7f5d SHA-256:0851465f40433ae28063903495605073948841f43b235dc5ef526309f505e52f 일단 Ducktail ..
오늘은 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체 가능성이 있습니다.일단 오늘 분석을 해볼 악성코드는 카카오에서 보낸 것으로 위장하는 악성코드이며 요즈음 유행하는 링크 방식을 사용하고 있습니다. 먼저 해시 값은 다음과 같습니다. 파일명:피싱 카카오 뱅크 보안메일 비밀번호.lnk.lnk 사이즈:4.44 MB MD5:7336068f2c5ed3ed154b6c8b1d72726a SHA-1:e72c90aedd2ef27226d891f464caec19635a6fd3 SHA-256:5a3f1d14b9cc4890db64fbc41818..
오늘은 부고 알림 부모님 별세를 악용한 스미싱 악성코드인 모바일 부고장.apk(2023.9.31)에 대해 알아보겠습니다. 일단 문자는 다음과 같이 옵니다. 부고 알림 유포 문자 내용 부모님께서 별세 하셨기에 아래와 같이 부고를 전해 드립니다.장례식장 부모님 마지막 가시는길 외롭지 않게 부디 오셔서 참석하여주세요. [Web발신][부고]18일 저녁 10시경 부친께서 별세하셨습니다. 안내 [Web발신][부고]23일 저녁 12시경 귀하의 조부께서 별세하셨습니다.안내 [訃告]부모님께서 별세 하셨기에 아래와 같이 부고를 전해드립니다 저기서 날짜는 하고 시간은 변경될 것입니다. 진짜 부고 알림 일 경우 속을 수가 있을 수가 있으니 주의하시길 바랍니다. 이번에는 기존에서는 한국어를 사용하다가 한자로 변경된 부분을 확인..
오늘은 워드 매크로 악성코드인 긴급 공지.docm(2023.09.13)에 대해 글을 적어 보겠습니다. 해당 워드 악성코드는 매크로로 된 악성코드이면 오래간만에 매크로 된 악성코드를 분석하는 것 같습니다. 일단 docm 형식인 것을 보면 아마도 워드로 된 악성코드를 실행하고 생성된 파일이지 않을까 생각이 됩니다. 물론 이것은 사견입니다. 먼저 해당 악성코드의 해쉬값은 다음과 같습니다. 파일명: 긴급 공지.docm 사이즈:60.2 KB MD5:87a45adfcd1f9c84a2785823e785e84a SHA-1:97b5bd767f3cea557ff3fa4f5e79b55c30e54c4d SHA-256:94f2f4bb4c2a26394d1e23a8dd24cd603ed89d76ee2c73ab9506b71ecf8859..
오늘은 북한 해킹 조직 중 하나인 김수키(Kimsuky) 만든 북의 핵위협 양상과 한국의 대응방향.chm 에 대해 글을 적어 보겠습니다. 김수키(Kimsuky,キムスキー)는 기본적으로 한국의 싱크탱크, 산업계, 원자력 발전소 그리고 대북 관계자, 그리고 탈북단체에서 운영하는 주요 인물을 대상으로 조직적으로 해킹하고 있으며 한국의 퇴역 장교(특히 대북 기밀 다루었던 분), 전·현직 외교관, 전·현직 정부기관에 일하고 있든 일을 하고 있지 않든 아무튼 대북 관련 단체이며 해킹을 하고 있으며 그리고 최근 영업이 러시아, 미국 및 유럽 국가로 확장하고 있으며 김수키라는 이름은 이 그룹의 공격을 처음 보고한 러시아의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었..
오늘은 지난 시간에 국민건강보험 공단 피싱 사이트 스미싱 사이트 nhtagse(.)store 에서 다운로드 된 악성코드를 분석해 보겠습니다. 일단 해당 악성코드는 지난 시간에 피싱 을 분석을 했을 때 최종적으로 다운로드 된 악성코드입니다. 해당 악성코드는 일단 기본적으로 피싱 사이트에서 자신이 입력한 전화번호로 다운로드가 되면 악성코드를 다운로드를 하고 설치하고 나서 실행을 하면 이제 본격적으로 해당 악성코드는 작동합니다. 먼저 해당 악성코드 해쉬값은 다음과 같습니다. 파일명:01023456789.apk 사이즈:3.36 MB CRC32:8a362df5 MD5:08681e3f16625260bc5a951f10616484 SHA-1:a868c62c36c62ca6fd0d7deefd2e399d56d5cf19 SH..
오늘은 북한 해킹 단체 Konni(코니) 에서 국세청 사칭 악성코드인 국세청 종합소득세 해명자료 제출 안내(2023.9.4) 에 대해 글을 적어 보겠습니다. 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행합니다. 보통은 한글과 컴퓨터에서 만들어서 배포하는 포멧인 hwp 에서는 악성코드가 없겠지 생각을 하지만 해당 포멧을 자주 이용하고 있으며 먼저 압축 파일 해쉬값은 다음과 같습니다. 파일명: 국세청 종합소득세 해명자료..
오늘은 후쿠시마 오염수 방류 내용을 악용한 악성코드인 1.chm에 대해 글을 적어 보겠습니다. 일단 해당 정치적 이야기는 하지 않을 것이면 그냥 순수하게 악성코드만 분석하겠습니다. 일단 후쿠시마 오염수 방류(후쿠시마 처리수) 악성코드는 최근에 가장 핫한 이슈인 후쿠시마 오염수 방류(후쿠시마 처리수)내용을 다루고 있습니다. 먼저 악성코드 해쉬값은 다음과 같습니다. 파일명:1.chm 사이즈:12.6 KB CRC32:b4756c7d MD5:9e6a2914a35256dd450db549fb975f45 SHA-1:a7398bdf6d742d8f76219b92893b8c4317435cc1 SHA-256:b31b89e646de6e9c5cbe21798e0157fef4d8e612d181085377348c974540760a ..
오늘은 지난 시간에 국민건강보험 공단 피싱 사이트 스미싱 사이트-yhasns(.)lol 에서 다운로드 된 악성코드를 분석해 보겠습니다. 일단 해당 악성코드는 지난 시간에 피싱을 분석을 했을 때 최종적으로 다운로드 된 악성코드입니다. 해당 악성코드는 일단 기본적으로 피싱 사이트에서 자신이 입력한 전화번호로 다운로드가 되면 악성코드를 다운로드를 하고 설치 하고 나서 실행을 하면 이제 본격적으로 해당 악성코드는 작동합니다. 먼저 해당 악성코드 해쉬값은 다음과 같습니다. 파일명:010123456789.apk 사이즈:3.36 MB CRC32:938e93dd MD5:a9e52b7ff90500344de2740e200ca68f SHA-1:03f4b589e7c7dfd07ef6400b894f9269a2e863a8 SHA-..
북한 해킹 단체 Konni(코니) 에서 만든 악성코드 만든 악성코드 2023-2-주차등록신청서-학생용. hwp(2023.8.30)에 대해 알아보겠습니다. 일단 해당 악성코드는 전국에서는 물론 세계에서도 유일한 북한학, 대북 컨설팅을 전문으로 하는 유일한 교육기관이자 언론에서 대북문제 자문으로 자주 언급되는 교육기관인 북한대학원대학교를 타겟으로 만든 악성코드로 아마도 해당 대학교에 있는 교수, 그리고 학생들은 노린 것을 추측할 수 있습니다. 해당 악성코드는 zip 형식의 압축코드로 돼 있으면 해당 압축 파일은 2번의 압축 파일로 돼 있는 것이 특징입니다. 해쉬값은 다음과 같이 됩니다. 사이즈:240 KB CRC32:0af06070 MD5:4bd6c089537d8ac66ac147b1512e7634 SHA-1..
오늘은 주문서로 위장한 악성코드인 Order 21739282.xlam에 대해 글을 적어 보겠습니다. 일단 해당 악성코드는 이메일 첨부 파일로 악성코드가 유포되고 있습니다. 일단 해당 악성코드는 광복절에 받아서 미루고 있다가 지금 글을 적어 봅니다. 일단 피싱 이메일 내용은 다음과 같습니다. Hello Ms, Hi! Enclosed is our revised order; My colleague is not available at the moment. I've pushed back line 1 and line 2 that was to ship today. Please send us the Order Confirmation soonest. Thank you and have a good one! Best Reg..