오늘은 CJ 대한통운 택배 이메일 사칭 피싱 메일 cjinfo@cjexpress(.)co(.)kr(2023.10.19)에 대해 알아보겠습니다. CJ그룹의 물류 및 건설을 담당하는 계열사로 대한민국에서 가장 인지도가 높은 물류 회사이며 모기업은 40.16%의 지분을 보유한 CJ제일제당이고 물류 사관학교로 이름이 높으며 한진, 롯데글로벌로지스 등과 라이벌 관계인 한국의 택배 업체입니다. 이메일을 확인해 보니 CJ 택배에서 와서 일단 열어보니 역시나 피싱 메일이었고 이번에는 조금 다르게 첨부파일이 2개 포함이 돼 있었습니다. 각각 12월 19일 문서____html(.)xz, 12월 19일 문서____pdf(.)gz 이며 각각 해쉬값은 다음과 같습니다. 파일명:12월 19일 문서____html 사이즈:387 K..
오늘은 맘스터치 해킹 으로 인한 네이버 피싱 사이트 접속 중인 것에 대해 알아보겠습니다. 맘스터치(MOM'S TOUCH) 는 대한민국의 햄버거 및 치킨 브랜드이고 국외 치킨 브랜드인 파파이스를 운영하고 있던 대한제당 계열의 해마로에서 토종 패스트푸드점을 만들자는 취지로 탄생(2004년 2월 (19주년)) 그리고 이런저런 사유가 있었고 2020년 6월 1일 버거류를 9종만 남기고 모두 정리하는 대규모 메뉴 개편을 단행했고 2021년 5월에는 롯데리아의 매장수를 추월하여 우리나라에서 가장 많은 매장수를 가진 햄버거 브랜드가 되었으며 다음 달에도 타 브랜드 대비 점포 수가 지속적으로 증가하는 브랜드입니다. 아무튼, 최근 이상 하게 홈페이지가 해킹되어 피싱 사이트 팝업이 노출 이 되는 현상이 있습니다. 일단 해..
오늘은 북한 해킹 조직 중 하나인 김수키(Kimsuky,キムスキー)는 기본적으로 한국의 싱크탱크,산업계,원자력 발전소 그리고 대북 관계자, 그리고 탈북단체에서 운영하는 주요인물을 대상으로 조직적으로 해킹하고 있으며 한국의 퇴역 장교(특히 대북 기밀 다루었던 분), 전·현직 외교관, 전·현직 정부기관에 일하고 있든 일을 하고 있지 않든 아무튼 대북 관련 단체이며 해킹을 하고 있으며 그리고 최근 영업이 러시아, 미국 및 유럽 국가로 확장하고 있으며 김수키 라는 이름은 이 그룹의 공격을 처음 보고한 러시아 의 보안기업 카스퍼스키 가 도난당한 정보를 보내는 이메일 계정 이름이 김숙향(Kimsukyang)이었기 때문이며 Gold Dragon,Babyshark,Appleseed 등 수많은 악성코드를 사용했으며 전직..
오늘은 북한 해킹 단체가 만든 카카오 톡 피싱 사이트 인 accountskakao bim mgn com(2023.2.2)에 대해서 알아보겠습니다. 일단 해당 피싱 사이트가 유포되는 사이트는 다음과 같습니다.사용자가 해당 페이지에 최초 접속하게 되는 정확한 유입경로는 확인되지 않았으나, 피싱메일을 통해 접속하게 되는 페이지에서 웹 로그인을 유도를 진행할 것으로 추측으로 합니다. 일단 오른쪽이 진짜 카카오 로그인 화면, 왼쪽은 당연히 피싱 사이트 입니다. 저는 직접적으로 접속을 해서 저런 화면이 나오는 것을 확인할 수가 있었으며 피싱 메일로 접속하면 카카오 계정의 ID가 자동완성 되어 있기 때문에 카카오 메일이 있을 때 메일 아이디만 입력하면 로그인할 수 있게 제작이 돼 있습니다. 일단 해당 피싱 사이트가 ..
오늘은 북한 해킹 조직인 김수키(Kimsuky) 에서 만든 악성코드인 한반도국제평화포럼(KGFP).doc에 대해 알아보겠습니다. 일단 한반도국제평화포럼(KGFP) 이라는 것은 대한민국 통일부가 주최하는 한반도 평화와 통일에 관한 1.5트랙 다자 국제포럼으로서 2010년 창설된 이래 한반도의 항구적인 자유번영 및 평화 구축을 주제로 매년 전 세계 20여 개 국가의 한반도, 북한문제에 관한 연구자들과 정부 관계자들이 함께 참여하여, 한반도 평화와 통일을 위한 제반 이슈를 점검하고 바람직한 해법을 모색하는 포럼이면 해당 악성코드는 대북 관련 조직 및 한국 정부 기관인 통일부가 주최하는 한반도국제평화포럼(KGFP)를 사칭을 해서 대북 관련자 분들을 노리는 악성코드입니다. 일단은 먼저 해쉬값은 다음과 같습니다. ..
오늘은 해당 악성코드는 최근 한국의 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인것을 확인했습니다. 일단 이메일 파일이 전송되면 이메일 안에는 파일명이 사내 금융업무 상세내역.docx으로 돼 있는 악성코드가 포함돼 있습니다. 해당 악성 워드 문서를 실행하면 백그라운드 에서는 External URL을 이용하여 워드 매크로(dotm) 파일을 내려받아 실행합니다. 해당 악성코드의 해쉬값은 다음과 같습니다. 파일명: 사내 금융업무 상세 내역.doc 사이즈:23.0 KB CRC32:83ad2372 MD5:2d2ec0094ddba03db0806dcc80575b4f SHA-1:457f053115be183b1e424b95e9f63221b894029e SHA-256:3ea1112e3a..
오늘은 북한 해킹 단체 Kimsuky(김수키)에서 만들어서 배포하고 있으면서 대북 관계자, 북한 민간 전문가 등을 노리는 워드 악성코드입니다. 일단 기본적으로 제목은 동아시아연구원 사례비 지급 서식(East Asia Research Institute Compensation Payment Form)으로 돼 있으며 보면 해쉬값은 다음과 같습니다. 파일명: 동아시아연구원 사례비 지급 서식.docx 사이즈:329 KB CRC32:00429d8a MD5:bf41074e39bb3abbe4e4640401e7e655 SHA-1:326575e1df8e63ccc3f8283c6bf01b186dac7088 SHA-256:b9dcf7fe7e8ba30d363a19c2c43fc3eea93d281b10f6ee89cffe2a3e533..
오늘은 해당 악성코드는 최근 한국의 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인 것을 확인했습니다. 일단 이메일 파일이 전송되면 이메일 안에는 파일명이 사내 금융업무 상세내역.docx으로 돼 있는 악성코드가 포함돼 있습니다. 해당 악성 워드 문서를 실행하면 백그라운드 에서는 External URL을 이용하여 워드 매크로(dotm) 파일을 내려받아 실행합니다. http://ms-work.com-info(.)store/dms/0203.dotm 이며 해당 파일 해쉬값은 다음과 같습니다. 파일명:사내 금융업무 상세 내역.doc 사이즈:106 KB CRC32:8771aa41 MD5:f5a18dc727c19624bcd47f03c0713b4b SHA-1:ed4cc1680d22de..
오늘은 북한 해커 조직인 Kimsuky(킴수키) 또는 김수키 라고 하는 북한 해커 집단에서 라자루스(Lazarus Group) 하고 자매 정도 포지션 이라고 할 수가 있으며 정보 탈취를 목적으로 활동하는 지능형지속위협(APT) 그룹으로 알려졌으며 2013년 9월 러시아 보안업체 카스퍼스키(Kaspersky)에 의해 처음 알려졌고 서울에 있는 모 대학 병원의 환자 정보를 탈취하기도 했으며 한국원자력연구원, 원전반대그룹을 자처하며 한국수력원자력의 대외비 자료를 공개 등으로 말미암아서 한때 비상근무를 쓰기도 했던 해킹 그룹으로 주목받고 있으면 지난 제 블로그에서도 글을 적었지만, 북한 해킹 조직 김수키 에서 만든 악성코드 KISA Mobile Security, 그리고 가상화폐 훔치려고 만든 악성코드인 Drop..
오늘은 북한 해커 조직인 Kimsuky(킴수키) 또는 김수키 라고 하는 북한 해커 집단에서 라자루스(Lazarus Group) 하고 자매 정도 포지션 이라고 할 수가 있으며 정보 탈취를 목적으로 활동하는 지능형지속위협(APT) 그룹으로 알려졌으며 2013년 9월 러시아 보안업체 카스퍼스키(Kaspersky)에 의해 처음 알려졌고 서울에 있는 모 대학 병원의 환자 정보를 탈취하기도 했으며 한국원자력연구원, 원전반대그룹을 자처하며 한국수력원자력의 대외비 자료를 공개 등으로 말미암아서 한때 비상근무를 쓰기도 했던 해킹 그룹으로 주목받고 있으면 지난 제 블로그에서도 글을 적었지만, 북한 해킹 조직 김수키 에서 만든 악성코드 KISA Mobile Security, 그리고 가상화폐 훔치려고 만든 악성코드인 Drop..
오늘은 한미 연합 훈련 킬 체인 웨비나 일정으로 위장한 악성코드인 1. doc에 대해 글을 적어 보겠습니다. 일단 해당 악성코드는 북한 해커 조직인 Kimsuky(킴수키) 또는 김수키 라고 하는 북한 해커 집단에서 만들어진 악성코드로 일단 해당 악성코드는 이메일을 통해서 전파가 되어 있으며 국내 특정 기관으로 속여서 조언을 요청하기 위해서 이메일을 전송하면 해당 악성코드의 특징은 예전 방식은 그냥 무작위로 이메일을 악성코드를 포함해서 이메일 보냈다고 하면 이제는 메일에 직접 워드 문서를 첨부하지 않고 공격 대상이 되는 대상이 나 답장받고 싶어요. 하고 답장을 보면 답장 이메일에 악성코드가 포함된 워드 문서를 주소를 보내 주고 해당 문서를 내려받길 실행을 하면 악성코드가 감염되는 방식을 취하고 있습니다. ..
오늘은 북한 해커 조직인 Kimsuky(킴수키) 또는 김수키 라고 하는 북한 해커 집단에서 라자루스(Lazarus Group)하고 자매 정도 포지션 이라고 할 수가 있으며 정보 탈취를 목적으로 활동하는 지능형지속위협(APT) 그룹으로 알려졌으며 2013년 9월 러시아 보안업체 카스퍼스키(Kaspersky)에 의해 처음 알려졌고 서울에 있는 모 대학 병원의 환자 정보를 탈취하기도 했으며 한국원자력연구원, 원전반대그룹을 자처하며 한국수력원자력의 대외비 자료를 공개 등으로 말미암아서 한때 비상근무를 쓰기도 했던 해킹 그룹으로 주목받고 있으면 지난 제 블로그에서도 글을 적었지만, 북한 해킹 조직 김수키 에서 만든 악성코드 KISA Mobile Security, 그리고 가상화폐 훔치려고 만든 악성코드인 DropP..
오늘은 조금은 길게 해외여행 시 스마트폰에 있는 개인정보를 노리는 쥬스재킹(Juice Jacking) 으로 부터 보호하는 방법에 대해 알아보겠습니다. 일단 해당 부분은 해외여행이 아니더라도 국내에 있는 악의적인 목적을 가진 사람이 해당 방법을 사용하면 스마트폰을 사용하는 개인정보를 훔칠 수가 있습니다. 일단 해당 부분은 해외에서 많이 사용이 되는 사이버범죄입니다. 일단 CSI 드라마 시리즈를 좋아한다고 하면 CSI 사이버를 보면 공항에서 해당 쥬스재킹(Juice Jacking)를 이용을 해서 범죄를 저지르는 방법이 나옵니다. 일단 쥬스재킹(Juice Jacking)이라는 것은 간단하게 공항, 커피숍, 사무실, 공항, 호텔 라운지, 기차역 등에 보면 USB 포트가 있는 것을 볼 수가 있고 해당 부분에 US..
오늘은 지난 시간에 이어서 페이스북(Facebook) 계정이 해킹당했는지 확인하는 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 기본적으로 먼저 Facebook(페이스북)의 View As 기능에서 발견 한 취약점 때문에 개인정보가 노출되는 일이 발생을 했습니다. 해당 취약점은 5 천만 개의 계정 정보를 노출했으며 해당 취약점에 의해서 해커가 사용자의 중요한 정보에 액세스 할 수 있다는 보고서가 나왔습니다. 그래서 페이스북(Facebook) 계정이 해킹되었는지를 확인하려면 다음 방법을 따르면 됩니다. 먼저 페이스북 계정에 로그인합니다. 그리고 나서 Facebook 계정에 로그인하고 나서 도움말 센터를 방문합니다. 그리고 나서 이 정보가 도움되었습니까? '아래에 예 또는 아니라는 대답이 표시됩니다. 이..