오늘은 북한 해킹 단체 Konni(코니) 에서 만든 악성코드인 북한 내부정보시장통제 관련 내부 동향 및 물가.hwp.lnk(2024.4.4)에 대해 글을 적어 보겠습니다. 해당 악성코드는 hwp 즉 한글과 컴퓨터에서 만든 HWP 첨부 파일처럼 돼 있는 lnk 파일이며 해당 악성코드를 hwp 즉 한글과 컴퓨터에서 만든 HWP 로 생각을 하고 실행을 하면 PowerShell(파워셀)를 통해서 해당 악성코드가 동작하게 구성이 돼 있습니다. 먼저 해당 악성코드의 해쉬값은 다음과 같습니다. 파일명: 북한 내부정보시장통제 관련 내부 동향 및 물가.hwp.lnk 사이즈:161 KB MD5:3334d2605c0df26536058f73a43cb074 SHA-1:ebcd247c5ff2babe6ad1f001b48275493..
오늘은 북한 해킹 단체인 Konni(코니) 에서는 만든 업비트 사칭 악성코드-첨부1_성명_개인정보수집이용동의서.docx.lnk(2024.03.07)에 대해 글을 적어 보겠습니다. 해당 업비트(Upbit) 는 대한민국의 대표적인 암호화폐 거래소이며 증권플러스를 개발 및 운영하는 두나무가 해외 비트렉스(Bittrex)와 독점 제휴를 맺고 2017년 10월 암호화폐거래소 업비트를 출범된 기업입니다. 일단 해당 악성코드는 개인적 생각으로 가상화폐(암호화폐)를 계정 탈취 및 가상화폐(암호화폐)를 탈취를 해서 북한 미사일 개발에 사용할 자금을 마련하기 위해서가 아닐까 생각이 됩니다. 이것은 어디까지 난 사견(私見) 입니다. 악성코드 해쉬값은 다음과 같습니다. 파일명:부1_성명_개인정보수집이용동의서.docx.zip ..
오늘은 북한 해킹 단체 Konni(코니) 에서 만든 악성코드인 조선 시장 물가 분석(회령).hwp?(2023.11.17)에 대해 글을 적어 보겠습니다. 해당 악성코드는 hwp 즉 한글과 컴퓨터에서 만든 HWP 첨부 파일로 돼 있으며 북한의 시장(장마당) 물가 분석 내용을 담고 있어서 대북 관계자 또는 북한 관련해서 다루는 분들을 타켓으로 하는 것을 추측할 수가 있으며 해쉬값은 다음과 같습니다. 파일명:조선 시장 물가 분석(회령).hwp 사이즈:71.0 KB MD5:54b3aa4b83e410f4bf28368d59a0711b SHA-1:b23a3738b6174f62e4696080f2d8a5f258799ce5 SHA-256:d1f81eaf48b878479065d9f04a252edca193bb0ffdd7734d..
오늘은 오늘은 북한 해킹 단체 Konni(코니) 에서 만든 악성코드에서 만든 악성코드인 NService_youngji057.chm(2023.11.18)에 대해 글을 적어보겠습니다. 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행합니다. 일단 해당 악성코드는 chm 즉 윈도우 도움말 형식으로 돼 있지만 실제로는 악성코드입니다. 해당 악성코드는 NService_youngji057.rar으로 유포되었으며 해당 악성코드를 풀..
오늘은 북한 해킹 단체 Konni(코니) 에서 특허 수수료 납부 확인증 위장한 악성코드-PaymentConfirmation.chm(2023.12.29)에 대해 글을 적어 보겠습니다. 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행합니다. 보통은 한글과 컴퓨터에서 만들어서 배포하는 포멧인 hwp에서는 악성코드가 없겠지 생각을 하지만 해당 포멧을 자주 이용하고 있으며 먼저 압축 파일 해쉬값은 다음과 같습니다. 파일명:Pa..
오늘은 북한 해킹 단체 Konni(코니) 에서 만든 악성코드인 주요도시 시장가격 조사 2023.xlsx.bin(2023.12.29)에 대해 글을 적어 보겠습니다. 해당 악성코드는 파일명:주요도시 시장가격 조사 2023.xlsx 사이즈:35.4 KB MD5:28d25a4021536394fd890c4b6d9b5551 SHA-1:39c97ca820f31e7903ccb190fee02035ffdb37b9 SHA-256: 44365e0bcd77f1721d061dc03dd3c1728ad36671ad294ec7b2cf088b1bbefd23 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT 37과 관련된 해킹 ..
오늘은 북한 해킹 단체 Konni(코니) 에서 첨부1.취득자금 소명대상 금액의 출처 확인서(국제조세조정에 관한 법률 시행규칙) 사칭한 악성코드에 대해 글을 적어 보겠습니다. 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행합니다. 보통은 한글과 컴퓨터에서 만들어서 배포하는 포멧인 hwp에서는 악성코드가 없겠지 생각을 하지만 해당 포멧을 자주 이용하고 있으며 먼저 압축 파일 해쉬값은 다음과 같습니다. 파일명:첨부1.취득자..
오늘은 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체 가능성이 있습니다.일단 오늘 분석을 해볼 악성코드는 카카오에서 보낸 것으로 위장하는 악성코드이며 요즈음 유행하는 링크 방식을 사용하고 있습니다. 먼저 해시 값은 다음과 같습니다. 파일명:피싱 카카오 뱅크 보안메일 비밀번호.lnk.lnk 사이즈:4.44 MB MD5:7336068f2c5ed3ed154b6c8b1d72726a SHA-1:e72c90aedd2ef27226d891f464caec19635a6fd3 SHA-256:5a3f1d14b9cc4890db64fbc41818..
오늘은 북한 해킹 단체 Konni(코니) 에서 국세청 사칭 악성코드인 국세청 종합소득세 해명자료 제출 안내(2023.9.4) 에 대해 글을 적어 보겠습니다. 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행합니다. 보통은 한글과 컴퓨터에서 만들어서 배포하는 포멧인 hwp 에서는 악성코드가 없겠지 생각을 하지만 해당 포멧을 자주 이용하고 있으며 먼저 압축 파일 해쉬값은 다음과 같습니다. 파일명: 국세청 종합소득세 해명자료..
북한 해킹 단체 Konni(코니) 에서 만든 악성코드 만든 악성코드 2023-2-주차등록신청서-학생용. hwp(2023.8.30)에 대해 알아보겠습니다. 일단 해당 악성코드는 전국에서는 물론 세계에서도 유일한 북한학, 대북 컨설팅을 전문으로 하는 유일한 교육기관이자 언론에서 대북문제 자문으로 자주 언급되는 교육기관인 북한대학원대학교를 타겟으로 만든 악성코드로 아마도 해당 대학교에 있는 교수, 그리고 학생들은 노린 것을 추측할 수 있습니다. 해당 악성코드는 zip 형식의 압축코드로 돼 있으면 해당 압축 파일은 2번의 압축 파일로 돼 있는 것이 특징입니다. 해쉬값은 다음과 같이 됩니다. 사이즈:240 KB CRC32:0af06070 MD5:4bd6c089537d8ac66ac147b1512e7634 SHA-1..
오늘은 북한 해킹 단체 Konni(코니)에서 만든 악성코드인 소명자료 목록(국세징수법 시행규칙)에 대해 알아보겠습니다. 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 일단 기본적으로 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행 비트코인 이나 북한 및 러시아,여러 사회적 이슈나 특정 관심사 등을 이용해서 악성코드를 공격하고 있습니다. 일단 악성코드는 압축 파일 형태인 zip 로 되어져 있으며 해당 악성코드에서는 3개의 파일이 들어가 져 있습니다. 소명자료 목록(국세징수법 시행규..
오늘은 북한 해킹 조직 중 하나인 김수키(Kimsuky,キムスキー)는 기본적으로 한국의 싱크탱크,산업계,원자력 발전소 그리고 대북 관계자, 그리고 탈북단체에서 운영하는 주요인물을 대상으로 조직적으로 해킹하고 있으며 한국의 퇴역 장교(특히 대북 기밀 다루었던 분), 전·현직 외교관, 전·현직 정부기관에 일하고 있든 일을 하고 있지 않든 아무튼 대북 관련 단체이며 해킹을 하고 있으며 그리고 최근 영업이 러시아, 미국 및 유럽 국가로 확장하고 있으며 김수키 라는 이름은 이 그룹의 공격을 처음 보고한 러시아의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직 ..
오늘은 북한 해킹 단체 Konni(코니)에서 만든 파워포인트 악성코드에 대해 알아보겠습니다. 먼저 파워포인트는 마이크로소프트가 개발하고 파는 프레젠테이션 소프트웨어이며 ppt 가 곧 프레젠테이션을 의미합니다. 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있는 단체입니다. 먼저 해당 악성코드 해쉬값은 다음과 같습니다. 파일명:b97e12807dcde2a8fd53d7f8e74336442d0cf8dbed19c0a44fcef359160bdd77.pptx 사이즈:12.3 KB CRC32:6c7c0960 MD5:3a3ce0a1794b5486..
오늘은 2017년 Cisco Talos 연구원이 처음 발견했으며, 2014년부터 탐지되지 않은 채 고도의 타깃 공격으로 하는 북한의 해킹 단체 Thallium, APT37과 관련된 해킹 단체이며 Kimsuky(김수키)일 가능성도 있습니다. 해당 악성코드는 chm 확장자로 돼 있으며 해쉬값은 다음과 같습니다. 여기서 이야기하는 chm은 Microsoft Compiled HTML Help는 HTML 페이지, 색인 및 기타 탐색 도구로 구성된 Microsoft 독점 온라인 도움말 형식 모음입니다. 파일명 1.chm 사이즈:225 KB CRC32:081d4f34 MD5:320d2e841d145f48f513eba516c1e796 SHA-1:c7f303dc0afef28d9d5828eab0aad7ffe04299f9 ..
오늘은 북한 해킹 단체 중 하나인 Kimsuky(김수키)에서 만든 워드 악성코드인 paypal.docx(2022.12.12)에 대해 알아보겠습니다. 일단 해당 악성코드는 일단 기본적으로 외교 안보 국방분야 교수, 북한 민간 전문가들이 아니고 불특정 한국인들의 대상으로 하고 있으며 해당 악성코드를 실행하고 나서 나오는 개인정보는 실제 한국인들 정보이면 총 42분의 개인정보를 도용해서 해당 악성코드가 진짜 인지 믿게 하는 목적인 것 같고 제목이 paypal(페이팔)하고 관련이 돼 있으며 미국의 간편 결제 서비스이며 1998년 12월 맥스 레프친, 피터 틸, 루크 노셀, 켄 하우리가 세운 콘피니티(Confinity)라는 회사가 일론 머스크가 설립한 X(.)com에게 인수되면서 1999년에 탄생했고 일종의 에스..
오늘은 북한 해킹 단체 Konni(코니) 즉 김수키(Kimsuky)와 연관된 북한 해킹 그룹 이며 Konni는 2014년 초부터 발견되었고 Konni 은 2012년부터 활동한 북한의 사이버 스파이 그룹인 APT37 과 잠재적으로 연결되어 있으며 해킹의 목표가 되는 희생자는 한국(남한)의 정치인, 북한 관련 종사자 또는 대북 관련 업무 맡는 분 및 일본, 베트남, 러시아, 네팔, 중국, 인도, 루마니아, 쿠웨이트 및 기타 중동 지역을 타켓으로 하고 있으며 이번 악성코드는 워드에 매크로로 작동하는 악성코드이며 제목은 카뱅과 손잡은 코인원_비트 독주 체제 무너뜨릴까? 라는 제목으로 돼 있으며 기본적으로 한국의 경제 주간지 이코노미스 에서 발간하는 경제 주간지 이코노미스트의 2022.09.03 07:05 에 작..