오늘은 해킹을 통해서 클릭픽스 공격을 통해서 컴퓨터 악성코드 감염 사례를 알아보겠습니다. 일단 해당 사이트는 쇼크 사이트이므로 심신 장애 및 고어 및 음란하기 때문에 접속을 권장하지 않으며 그리고 굳이 접속을 해서 악성코드 감염 시 발생을 하는 문제는 당사자 책임입니다.일단 해당 사이트에서 해킹된 시간은 아마도 2025.6.23 01:19:45전에 해킹이 되어서 해당 사이트에서 ClickFix(클릭픽스)을 실행을 한 것 같습니다.po-kaki-to(.)com/login(.)html지금은 정상적인 사이트로 돌아왔기 때문에 아카리브를 바탕으로 한정적으로 분석합니다.먼저 사이트 접속 시 당연하게 너~로봇이니 사람이니 확인하는 절차를 가지게 됩니다.Robot or human?Check the box to con..
구 소련~현재 러시아의 항공기 제작 회사이며 창립일: 1922년 10월 22일, 설립자: 안드레이 투폴레프Tu-16,Tu-114(여객기),죽음의 백조라고 하는 일명 Tu-160(Туполев Ту-160 Белый лебедь, Blackjack) Tu-160에 탑승한 블라디미르 푸틴 탑승한 적이 있는 것 등으로 유명한 업체입니다.아무튼, 다시 돌아와서 우크라이나 국방부 산하 중앙정보국(GUR)은 러시아의 초음속 전략 폭격기를 개발하는 러시아의 항공우주 및 방위 회사인 투폴레프를 해킹했다고 주장우크라이나 언론에 따르면 GUR 내부 소식통은 군 정보 해커들이 투폴레프의 시스템을 해킹하여 4.4기가바이트의 기밀 정보를 훔쳤다고 전해지며 도난당한 데이터에는 투폴레프 직원의 개인 데이터, 내부 커뮤니케이션(회사..
최근 SKT 해킹 이슈로 많은 SKT 소비자 분들이 불편 및 불안감을 느끼는 가운데, SK텔레콤에서 고객 안심 패키지를 통해 불법 복제 유심 차단 문제 해결을 할 수 있는 기능과 불법 복제 단말기까지 원천 차단하는 조치를 마련미리 이런 서비스를 제공했으며 하는 부분이라 아쉽기는 하지만 해당 조치 때문에 불안감을 안는 많은 소비자에게 도움이 될 수 있을 거로 생각합니다. 이번 사건을 계기로 각 통신사도 SKT 고객 안심 패키지 등의 체계적인 대책을 통해 마련해야 SK텔레콤처럼 되지 않을 수가 있습니다.최근 SKT 고객 안심 패키지를 통해 빠르게 대책을 연구하고 있고 이 중에 가장 인상적인 건 다층 보안 시스템입니다.특히 업그레이드된 FDS(비정상인증 차단 시스템) 2.0이며 쉽게 말해 유심과 단말의 고유 ..
오늘은 북한 해킹 단체 김수키(Kimsuky) 에서 만든 악성코드인 거래명세서(2024,10,02)에 대해 글을 적어보겠습니다.먼저 악성코드 해쉬값은 다음과 같습니다.파일명:거래명세서 [2024.09].xlsx.lnk사이즈:318,168 BytesMD5:cdb9a352597f10b8539d61c4b7f4d64cSHA-1:8b6bf5f4ec7045386ee8a0335b7ab7059fe3cf9eSHA-256:acbc775087da23725c3d783311d5f5083c93658de392c17994a9151447ac2b63일단 해당 LNK 파일은 엑셀로 속이는 척하는 것을 볼 수가 있으며 안에 보면 Base64 로 인코딩이 돼 있는 것을 확인할 수가 있습니다.Base64 디코딩$hhh = Join-(P)ath..
오늘은 김수키(Kimsuky)로 추정이 되는 카카오 고객센터 피싱 메일(2024.12.16)에 대해 분석을 한번 해보겠습니다.이메일 내용은 다음과 같습니다.kakao 계정 회원님의 아이디가 휴면 상태로 전환될 예정입니다. 해당 메일을 수신 받은 후 1개월 이내에 본인확인을 하지 않으면, 회원님의 아이디가 휴면 아이디로 전환되는 점을 알려드립니다. --------------------------------------------------------------------------------아이디 :?@hanmail(.)net 휴면 아이디 전환 예정일 : 2025년 1월 12일 별도 분리 보관되는 개인정보 항목 : 아이디 및 회원정보 -------------------------------------..
해커 팀은 거의 전체 Windows/Office 소프트웨어 라이센스 보호를 해독했다고 주장해당 방법을 통해서 거의 모든 버전의 Windows 및 Office를 영구적으로 활성화할 수 있다고 주장윈도우 및 Office 설치에는 정품 인증이 필요뒤에서 또는 사용자가 제품 키를 입력할 때 발생할 수 있음해결 방법과 해킹은 오랫동안 사용 가능널리 사용되는 선택 중 하나는 PowerShell 프롬프터에서 한 줄의 지침을 실행하여 Windows 8 이상 또는 Office를 활성화솔루션 작성자는 이제 해당 기능을 더 많은 Windows 및 Office 제품으로 확장하는 방법을 찾았다고 주장새로운 방법은 모든 윈도우 클라이언트 또는 서버 버전에서 작동하며 ESU(확장 보안 업데이트) 및 Microsoft CSVLK(고..
오늘은 김수키(Kimsuky) 에서 고속국도 제29호선 세종-안성 간 건설공사 송장으로 위장 하는 악성코드-도x기업 20240610 송장.bmp.lnk(2024.7.30) 에 대해 알아보겠습니다. 해당 악성코드는 압축 파일에 BMP 파일로 파일을 위장하고 있으며 실제로는 lnk 파일입니다.일단 압축 파일의 해쉬값은 다음과 같습니다.파일명:1.zip사이즈:6.14 KBMD5:4ac2192b01fce9e793f544d09877d16bSHA-1:d83f47dfe20c38ccec3b9869f644fd4c128a94d0SHA-256:3d3cc980ccf97cde5f3272fdc4c88569b77afe3f88e2e62186861daae99644d0해당 악성코드 해쉬값파일명: 도양기업 20240610 송장 갑지.bm..
오늘은 CJ 대한통운 택배 이메일 사칭 피싱 메일 cjinfo@cjexpress(.)co(.)kr(2023.10.19)에 대해 알아보겠습니다. CJ그룹의 물류 및 건설을 담당하는 계열사로 대한민국에서 가장 인지도가 높은 물류 회사이며 모기업은 40.16%의 지분을 보유한 CJ제일제당이고 물류 사관학교로 이름이 높으며 한진, 롯데글로벌로지스 등과 라이벌 관계인 한국의 택배 업체입니다. 이메일을 확인해 보니 CJ 택배에서 와서 일단 열어보니 역시나 피싱 메일이었고 이번에는 조금 다르게 첨부파일이 2개 포함이 돼 있었습니다. 각각 12월 19일 문서____html(.)xz, 12월 19일 문서____pdf(.)gz 이며 각각 해쉬값은 다음과 같습니다. 파일명:12월 19일 문서____html 사이즈:387 K..
오늘은 맘스터치 해킹 으로 인한 네이버 피싱 사이트 접속 중인 것에 대해 알아보겠습니다. 맘스터치(MOM'S TOUCH) 는 대한민국의 햄버거 및 치킨 브랜드이고 국외 치킨 브랜드인 파파이스를 운영하고 있던 대한제당 계열의 해마로에서 토종 패스트푸드점을 만들자는 취지로 탄생(2004년 2월 (19주년)) 그리고 이런저런 사유가 있었고 2020년 6월 1일 버거류를 9종만 남기고 모두 정리하는 대규모 메뉴 개편을 단행했고 2021년 5월에는 롯데리아의 매장수를 추월하여 우리나라에서 가장 많은 매장수를 가진 햄버거 브랜드가 되었으며 다음 달에도 타 브랜드 대비 점포 수가 지속적으로 증가하는 브랜드입니다. 아무튼, 최근 이상 하게 홈페이지가 해킹되어 피싱 사이트 팝업이 노출 이 되는 현상이 있습니다. 일단 해..
오늘은 북한 해킹 조직 중 하나인 김수키(Kimsuky,キムスキー)는 기본적으로 한국의 싱크탱크,산업계,원자력 발전소 그리고 대북 관계자, 그리고 탈북단체에서 운영하는 주요인물을 대상으로 조직적으로 해킹하고 있으며 한국의 퇴역 장교(특히 대북 기밀 다루었던 분), 전·현직 외교관, 전·현직 정부기관에 일하고 있든 일을 하고 있지 않든 아무튼 대북 관련 단체이며 해킹을 하고 있으며 그리고 최근 영업이 러시아, 미국 및 유럽 국가로 확장하고 있으며 김수키 라는 이름은 이 그룹의 공격을 처음 보고한 러시아 의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직..
오늘은 북한 해킹 단체가 만든 카카오 톡 피싱 사이트 인 accountskakao bim mgn com(2023.2.2)에 대해서 알아보겠습니다. 일단 해당 피싱 사이트가 유포되는 사이트는 다음과 같습니다.사용자가 해당 페이지에 최초 접속하게 되는 정확한 유입경로는 확인되지 않았으나, 피싱메일을 통해 접속하게 되는 페이지에서 웹 로그인을 유도를 진행할 것으로 추측으로 합니다. 일단 오른쪽이 진짜 카카오 로그인 화면, 왼쪽은 당연히 피싱 사이트 입니다. 저는 직접적으로 접속을 해서 저런 화면이 나오는 것을 확인할 수가 있었으며 피싱 메일로 접속하면 카카오 계정의 ID가 자동완성 되어 있기 때문에 카카오 메일이 있을 때 메일 아이디만 입력하면 로그인할 수 있게 제작이 돼 있습니다. 일단 해당 피싱 사이트가 ..
오늘은 북한 해킹 조직인 김수키(Kimsuky) 에서 만든 악성코드인 한반도국제평화포럼(KGFP).doc에 대해 알아보겠습니다. 일단 한반도국제평화포럼(KGFP) 이라는 것은 대한민국 통일부가 주최하는 한반도 평화와 통일에 관한 1.5트랙 다자 국제포럼으로서 2010년 창설된 이래 한반도의 항구적인 자유번영 및 평화 구축을 주제로 매년 전 세계 20여 개 국가의 한반도, 북한문제에 관한 연구자들과 정부 관계자들이 함께 참여하여, 한반도 평화와 통일을 위한 제반 이슈를 점검하고 바람직한 해법을 모색하는 포럼이면 해당 악성코드는 대북 관련 조직 및 한국 정부 기관인 통일부가 주최하는 한반도국제평화포럼(KGFP)를 사칭을 해서 대북 관련자 분들을 노리는 악성코드입니다. 일단은 먼저 해쉬값은 다음과 같습니다. ..
오늘은 해당 악성코드는 최근 한국의 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인것을 확인했습니다. 일단 이메일 파일이 전송되면 이메일 안에는 파일명이 사내 금융업무 상세내역.docx으로 돼 있는 악성코드가 포함돼 있습니다. 해당 악성 워드 문서를 실행하면 백그라운드 에서는 External URL을 이용하여 워드 매크로(dotm) 파일을 내려받아 실행합니다. 해당 악성코드의 해쉬값은 다음과 같습니다. 파일명: 사내 금융업무 상세 내역.doc 사이즈:23.0 KB CRC32:83ad2372 MD5:2d2ec0094ddba03db0806dcc80575b4f SHA-1:457f053115be183b1e424b95e9f63221b894029e SHA-256:3ea1112e3a..
오늘은 북한 해킹 단체 Kimsuky(김수키)에서 만들어서 배포하고 있으면서 대북 관계자, 북한 민간 전문가 등을 노리는 워드 악성코드입니다. 일단 기본적으로 제목은 동아시아연구원 사례비 지급 서식(East Asia Research Institute Compensation Payment Form)으로 돼 있으며 보면 해쉬값은 다음과 같습니다. 파일명: 동아시아연구원 사례비 지급 서식.docx 사이즈:329 KB CRC32:00429d8a MD5:bf41074e39bb3abbe4e4640401e7e655 SHA-1:326575e1df8e63ccc3f8283c6bf01b186dac7088 SHA-256:b9dcf7fe7e8ba30d363a19c2c43fc3eea93d281b10f6ee89cffe2a3e533..
오늘은 해당 악성코드는 최근 한국의 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인 것을 확인했습니다. 일단 이메일 파일이 전송되면 이메일 안에는 파일명이 사내 금융업무 상세내역.docx으로 돼 있는 악성코드가 포함돼 있습니다. 해당 악성 워드 문서를 실행하면 백그라운드 에서는 External URL을 이용하여 워드 매크로(dotm) 파일을 내려받아 실행합니다. http://ms-work.com-info(.)store/dms/0203.dotm 이며 해당 파일 해쉬값은 다음과 같습니다. 파일명:사내 금융업무 상세 내역.doc 사이즈:106 KB CRC32:8771aa41 MD5:f5a18dc727c19624bcd47f03c0713b4b SHA-1:ed4cc1680d22de..
오늘은 북한 해커 조직인 Kimsuky(킴수키) 또는 김수키 라고 하는 북한 해커 집단에서 라자루스(Lazarus Group) 하고 자매 정도 포지션 이라고 할 수가 있으며 정보 탈취를 목적으로 활동하는 지능형지속위협(APT) 그룹으로 알려졌으며 2013년 9월 러시아 보안업체 카스퍼스키(Kaspersky)에 의해 처음 알려졌고 서울에 있는 모 대학 병원의 환자 정보를 탈취하기도 했으며 한국원자력연구원, 원전반대그룹을 자처하며 한국수력원자력의 대외비 자료를 공개 등으로 말미암아서 한때 비상근무를 쓰기도 했던 해킹 그룹으로 주목받고 있으면 지난 제 블로그에서도 글을 적었지만, 북한 해킹 조직 김수키 에서 만든 악성코드 KISA Mobile Security, 그리고 가상화폐 훔치려고 만든 악성코드인 Drop..
오늘은 북한 해커 조직인 Kimsuky(킴수키) 또는 김수키 라고 하는 북한 해커 집단에서 라자루스(Lazarus Group) 하고 자매 정도 포지션 이라고 할 수가 있으며 정보 탈취를 목적으로 활동하는 지능형지속위협(APT) 그룹으로 알려졌으며 2013년 9월 러시아 보안업체 카스퍼스키(Kaspersky)에 의해 처음 알려졌고 서울에 있는 모 대학 병원의 환자 정보를 탈취하기도 했으며 한국원자력연구원, 원전반대그룹을 자처하며 한국수력원자력의 대외비 자료를 공개 등으로 말미암아서 한때 비상근무를 쓰기도 했던 해킹 그룹으로 주목받고 있으면 지난 제 블로그에서도 글을 적었지만, 북한 해킹 조직 김수키 에서 만든 악성코드 KISA Mobile Security, 그리고 가상화폐 훔치려고 만든 악성코드인 Drop..
오늘은 한미 연합 훈련 킬 체인 웨비나 일정으로 위장한 악성코드인 1. doc에 대해 글을 적어 보겠습니다. 일단 해당 악성코드는 북한 해커 조직인 Kimsuky(킴수키) 또는 김수키 라고 하는 북한 해커 집단에서 만들어진 악성코드로 일단 해당 악성코드는 이메일을 통해서 전파가 되어 있으며 국내 특정 기관으로 속여서 조언을 요청하기 위해서 이메일을 전송하면 해당 악성코드의 특징은 예전 방식은 그냥 무작위로 이메일을 악성코드를 포함해서 이메일 보냈다고 하면 이제는 메일에 직접 워드 문서를 첨부하지 않고 공격 대상이 되는 대상이 나 답장받고 싶어요. 하고 답장을 보면 답장 이메일에 악성코드가 포함된 워드 문서를 주소를 보내 주고 해당 문서를 내려받길 실행을 하면 악성코드가 감염되는 방식을 취하고 있습니다. ..
오늘은 북한 해커 조직인 Kimsuky(킴수키) 또는 김수키 라고 하는 북한 해커 집단에서 라자루스(Lazarus Group)하고 자매 정도 포지션 이라고 할 수가 있으며 정보 탈취를 목적으로 활동하는 지능형지속위협(APT) 그룹으로 알려졌으며 2013년 9월 러시아 보안업체 카스퍼스키(Kaspersky)에 의해 처음 알려졌고 서울에 있는 모 대학 병원의 환자 정보를 탈취하기도 했으며 한국원자력연구원, 원전반대그룹을 자처하며 한국수력원자력의 대외비 자료를 공개 등으로 말미암아서 한때 비상근무를 쓰기도 했던 해킹 그룹으로 주목받고 있으면 지난 제 블로그에서도 글을 적었지만, 북한 해킹 조직 김수키 에서 만든 악성코드 KISA Mobile Security, 그리고 가상화폐 훔치려고 만든 악성코드인 DropP..
오늘은 조금은 길게 해외여행 시 스마트폰에 있는 개인정보를 노리는 쥬스재킹(Juice Jacking) 으로 부터 보호하는 방법에 대해 알아보겠습니다. 일단 해당 부분은 해외여행이 아니더라도 국내에 있는 악의적인 목적을 가진 사람이 해당 방법을 사용하면 스마트폰을 사용하는 개인정보를 훔칠 수가 있습니다. 일단 해당 부분은 해외에서 많이 사용이 되는 사이버범죄입니다. 일단 CSI 드라마 시리즈를 좋아한다고 하면 CSI 사이버를 보면 공항에서 해당 쥬스재킹(Juice Jacking)를 이용을 해서 범죄를 저지르는 방법이 나옵니다. 일단 쥬스재킹(Juice Jacking)이라는 것은 간단하게 공항, 커피숍, 사무실, 공항, 호텔 라운지, 기차역 등에 보면 USB 포트가 있는 것을 볼 수가 있고 해당 부분에 US..
오늘은 지난 시간에 이어서 페이스북(Facebook) 계정이 해킹당했는지 확인하는 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 기본적으로 먼저 Facebook(페이스북)의 View As 기능에서 발견 한 취약점 때문에 개인정보가 노출되는 일이 발생을 했습니다. 해당 취약점은 5 천만 개의 계정 정보를 노출했으며 해당 취약점에 의해서 해커가 사용자의 중요한 정보에 액세스 할 수 있다는 보고서가 나왔습니다. 그래서 페이스북(Facebook) 계정이 해킹되었는지를 확인하려면 다음 방법을 따르면 됩니다. 먼저 페이스북 계정에 로그인합니다. 그리고 나서 Facebook 계정에 로그인하고 나서 도움말 센터를 방문합니다. 그리고 나서 이 정보가 도움되었습니까? '아래에 예 또는 아니라는 대답이 표시됩니다. 이..