North Korea (4) 썸네일형 리스트형 99. 한국방위산업학회 위장 공격 이메일 국내에서 유포중인 이메일들에 대해 지속적으로 모니터링중에 있는데, 얼마 전 아래와 같은 이메일이 발견되었다. 한국방위산업학회 방위산업 디지털 혁신 세미나를 알리는 메일로 위장한 공격 메일이다. 제목은 아래 그림과 같이 "[최초 수신 메일] 한국방위산업학회 방위산업 디지털 혁신 세미나 계획을 전파드립니다." 로 작성되어있고, 첨부파일로 한글 파일이 첨부되어 있다. 해당 메일에 첨부된 파일을 실행하면 아래 그림과 같이 비밀번호로 보호되어 있는 것을 볼 수 있다. 해당 비밀번호는 메일 본문에 안내되어있었으며, 이 또한 한국방위산업학회의 중요 파일로 위장하기 위해 비밀번호를 설정한 것으로 보여진다. 비밀번호를 입력하고 나면 아래와 같이 pdf와 docx 파일 링크가 본문 내용으로 나타난다. 각각의 파일 링크는 .. 90. Andariel's play ransomware 지난 2024년 10월 31일, 북한의 APT 그룹 중 하나인 Andariel이 Play ransomware를 사용했다는 기사가 공개되었다.https://www.darkreading.com/endpoint-security/north-korea-andariel-play-ransomware 해당 기사 내용에 따르면, Andariel이 Play ransomware와 협력하고 있는 것으로 보인다. 초기 브로커(IAB, Initial Access Broker)든 실제 Play ransomware든 Andariel의 공격에 Play ransomware를 사용한 것은 틀림없다. 개인적으로 운용하고 있는 MISP에도 해당 내용이 포착되었다. Play ransomware의 몇 샘플들과 7월 30일에 포착된 북한측 악성코.. 70. North Korea's Phishing mail program (메일전송 프로그람 ver10.0) 얼마 전, 북한 지원 공격자들이 사용했던 것으로 보여지는 피싱 메일 생성/전송 프로그램을 입수했다. 매우 신기해서 분석해봤다. 일단, 메일 전송 프로그램은 아래 그림처럼 생겼다. 특이점으로는 "오유", "프로그람" 이라는 북한식 말을 사용하고 있다는 점이다. 또, 버전이 10.0인 것을 보면 해당 프로그램이 이전에도 여러 버전이 있었을 것으로 보여진다. 메일 전송시에 base64 인코딩이나 난독화 등을 수행할 것인지에 대한 체크 박스도 존재한다. 실제로 전송이 되나 궁금해서 개인 메일로 테스트를 진행해봤는데, 전송 이후에는 "메일전송이 완료되였습니다" 라는 문구가 나타난다. 메일 서버에서 걸러진 것인지는 모르지만, 실제로 메일이 도착되지는 않았다. 만약 메일이 실제로 전송된다면 아래 두 링크 중 하나를 .. 58. Konni's 부가가치세과세표준증명 2023년 09월 28일, 북한의 Konni 그룹(Kimsuky 산하 그룹 추정)이 유포한 부가가치세과세표준증명.hwp.lnk 파일이 확인되었다. 아래 글에서는 해당 악성파일을 분석한다. 먼저, 해당 파일은 "부가가치세 과세표준증명원 제출 안내문.zip" 이라는 파일명을 가지며 압축 파일로 유포되었다. 유포된 파일을 압축 해제시, 아래와 같이 부가가치세과세표준증명(국문).hwp, 부가가치세과세표준증명(영문).hwp 의 두 개 파일이 나타난다. 이 중 부가가치세과세표준증명(국문)에 해당되는 파일은 한글파일처럼 위장하였으나 실제로는 lnk 확장자를 가지는 바로 가기 파일이다. 실제 부가가치세과세표준증명(국문) 파일의 속성을 확인해보면 아래와 같이 명령 프롬프트 실행 파일을 바로가기 대상으로 삼고 있는 것을 .. 이전 1 다음
