오늘은 북한 해킹 조직 중 하나인 김수키(Kimsuky,キムスキー)는 기본적으로 한국의 싱크탱크,산업계,원자력 발전소 그리고 대북 관계자, 그리고 탈북단체에서 운영하는 주요인물을 대상으로 조직적으로 해킹하고 있으며 한국의 퇴역 장교(특히 대북 기밀 다루었던 분), 전·현직 외교관, 전·현직 정부기관에 일하고 있든 일을 하고 있지 않든 아무튼 대북 관련 단체이며 해킹을 하고 있으며 그리고 최근 영업이 러시아, 미국 및 유럽 국가로 확장하고 있으며 김수키 라는 이름은 이 그룹의 공격을 처음 보고한 러시아 의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직..
오늘은 북한 해킹 조직인 김수키(Kimsuky) 에서 만든 악성코드인 한반도국제평화포럼(KGFP).doc에 대해 알아보겠습니다. 일단 한반도국제평화포럼(KGFP) 이라는 것은 대한민국 통일부가 주최하는 한반도 평화와 통일에 관한 1.5트랙 다자 국제포럼으로서 2010년 창설된 이래 한반도의 항구적인 자유번영 및 평화 구축을 주제로 매년 전 세계 20여 개 국가의 한반도, 북한문제에 관한 연구자들과 정부 관계자들이 함께 참여하여, 한반도 평화와 통일을 위한 제반 이슈를 점검하고 바람직한 해법을 모색하는 포럼이면 해당 악성코드는 대북 관련 조직 및 한국 정부 기관인 통일부가 주최하는 한반도국제평화포럼(KGFP)를 사칭을 해서 대북 관련자 분들을 노리는 악성코드입니다. 일단은 먼저 해쉬값은 다음과 같습니다. ..
오늘은 해당 악성코드는 최근 한국의 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인것을 확인했습니다. 일단 이메일 파일이 전송되면 이메일 안에는 파일명이 사내 금융업무 상세내역.docx으로 돼 있는 악성코드가 포함돼 있습니다. 해당 악성 워드 문서를 실행하면 백그라운드 에서는 External URL을 이용하여 워드 매크로(dotm) 파일을 내려받아 실행합니다. 해당 악성코드의 해쉬값은 다음과 같습니다. 파일명: 사내 금융업무 상세 내역.doc 사이즈:23.0 KB CRC32:83ad2372 MD5:2d2ec0094ddba03db0806dcc80575b4f SHA-1:457f053115be183b1e424b95e9f63221b894029e SHA-256:3ea1112e3a..
오늘은 해당 악성코드는 최근 한국의 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인 것을 확인했습니다. 일단 이메일 파일이 전송되면 이메일 안에는 파일명이 사내 금융업무 상세내역.docx으로 돼 있는 악성코드가 포함돼 있습니다. 해당 악성 워드 문서를 실행하면 백그라운드 에서는 External URL을 이용하여 워드 매크로(dotm) 파일을 내려받아 실행합니다. http://ms-work.com-info(.)store/dms/0203.dotm 이며 해당 파일 해쉬값은 다음과 같습니다. 파일명:사내 금융업무 상세 내역.doc 사이즈:106 KB CRC32:8771aa41 MD5:f5a18dc727c19624bcd47f03c0713b4b SHA-1:ed4cc1680d22de..
오늘은 북한 해커 조직인 Kimsuky(킴수키) 또는 김수키 라고 하는 북한 해커 집단에서 라자루스(Lazarus Group) 하고 자매 정도 포지션 이라고 할 수가 있으며 정보 탈취를 목적으로 활동하는 지능형지속위협(APT) 그룹으로 알려졌으며 2013년 9월 러시아 보안업체 카스퍼스키(Kaspersky)에 의해 처음 알려졌고 서울에 있는 모 대학 병원의 환자 정보를 탈취하기도 했으며 한국원자력연구원, 원전반대그룹을 자처하며 한국수력원자력의 대외비 자료를 공개 등으로 말미암아서 한때 비상근무를 쓰기도 했던 해킹 그룹으로 주목받고 있으면 지난 제 블로그에서도 글을 적었지만, 북한 해킹 조직 김수키 에서 만든 악성코드 KISA Mobile Security, 그리고 가상화폐 훔치려고 만든 악성코드인 Drop..
오늘은 북한 해커 조직인 Kimsuky(킴수키) 또는 김수키 라고 하는 북한 해커 집단에서 라자루스(Lazarus Group) 하고 자매 정도 포지션 이라고 할 수가 있으며 정보 탈취를 목적으로 활동하는 지능형지속위협(APT) 그룹으로 알려졌으며 2013년 9월 러시아 보안업체 카스퍼스키(Kaspersky)에 의해 처음 알려졌고 서울에 있는 모 대학 병원의 환자 정보를 탈취하기도 했으며 한국원자력연구원, 원전반대그룹을 자처하며 한국수력원자력의 대외비 자료를 공개 등으로 말미암아서 한때 비상근무를 쓰기도 했던 해킹 그룹으로 주목받고 있으면 지난 제 블로그에서도 글을 적었지만, 북한 해킹 조직 김수키 에서 만든 악성코드 KISA Mobile Security, 그리고 가상화폐 훔치려고 만든 악성코드인 Drop..
오늘은 한미 연합 훈련 킬 체인 웨비나 일정으로 위장한 악성코드인 1. doc에 대해 글을 적어 보겠습니다. 일단 해당 악성코드는 북한 해커 조직인 Kimsuky(킴수키) 또는 김수키 라고 하는 북한 해커 집단에서 만들어진 악성코드로 일단 해당 악성코드는 이메일을 통해서 전파가 되어 있으며 국내 특정 기관으로 속여서 조언을 요청하기 위해서 이메일을 전송하면 해당 악성코드의 특징은 예전 방식은 그냥 무작위로 이메일을 악성코드를 포함해서 이메일 보냈다고 하면 이제는 메일에 직접 워드 문서를 첨부하지 않고 공격 대상이 되는 대상이 나 답장받고 싶어요. 하고 답장을 보면 답장 이메일에 악성코드가 포함된 워드 문서를 주소를 보내 주고 해당 문서를 내려받길 실행을 하면 악성코드가 감염되는 방식을 취하고 있습니다. ..
오늘은 북한 해커 조직인 Kimsuky(킴수키) 또는 김수키 라고 하는 북한 해커 집단에서 라자루스(Lazarus Group)하고 자매 정도 포지션 이라고 할 수가 있으며 정보 탈취를 목적으로 활동하는 지능형지속위협(APT) 그룹으로 알려졌으며 2013년 9월 러시아 보안업체 카스퍼스키(Kaspersky)에 의해 처음 알려졌고 서울에 있는 모 대학 병원의 환자 정보를 탈취하기도 했으며 한국원자력연구원, 원전반대그룹을 자처하며 한국수력원자력의 대외비 자료를 공개 등으로 말미암아서 한때 비상근무를 쓰기도 했던 해킹 그룹으로 주목받고 있으면 지난 제 블로그에서도 글을 적었지만, 북한 해킹 조직 김수키 에서 만든 악성코드 KISA Mobile Security, 그리고 가상화폐 훔치려고 만든 악성코드인 DropP..
오늘은 븍한의 해킹 단체중 하나인 Kimsuky(킴수키) 에서 만든 디지털 지갑 Klip를 노리는 악성코드인 Klip 고객센터]오전송_토큰해결_안내에 대해 글을 적어 보겠습니다. 일단 클립은 카카오의 블록체인 관련 자회사인 그라운드 X가 개발한 디지털 자산 지갑 서비스 으로 디지털 모바일 암호화폐 자산 관리 서비스 퍼블릭 블록체인 플랫폼 클레이튼 기반의 암호화폐들을 지원하며 카카오톡 내에서 쉽게 관리하면서 카카오톡 친구들과 주고받을 수 있으며 클립을 바탕으로 블록체인을 기반한 금융, 콘텐츠, 게임 등의 서비스를 지원하게 을 하고 있습니다. 먼저 해당 악성코드의 해쉬값은 다음과 같습니다. 해쉬값은 다음과 같습니다. 파일명: [Klip 고객센터]오전송_토큰해결_안내.doc 사이즈:216 KB CRC32:75..