보안뉴스

한글 문서 파일 위장 악성코드 유포... 김수키 해킹그룹 공격 추정 (23-06 15주차)

박연준 2023. 6. 23. 14:13

[보안뉴스 김영명 기자] 지금까지 윈도 도움말 파일(.chm), 마이크로소프트 원노트(OneNote) 등의 파일 형식으로 유포되던 악성코드가 최근 실행 파일 형식으로 유포되는 것이 확인됐다. 해당 악성코드에서 사용된 단어 및 실행되는 스크립트 코드가 이전에 분석한 코드와 유사한 것으로 보아 북한 해킹그룹 김수키(Kimsuky)에서 제작한 것으로 추정되고 있다.

 

 

출처: https://m.boannews.com/html/detail.html?tab_type=1&idx=119246 

 

한글 문서 파일 위장 악성코드 유포... 김수키 해킹그룹 공격 추정

지금까지 윈도 도움말 파일(.chm), 마이크로소프트 원노트(OneNote) 등의 파일 형식으로 유포되던 악성코드가 최근 실행 파일 형식으로 유포되는 것이 확인됐다. 해당 악성코드에서 사용된 단어 및

m.boannews.com

 


느낀 점: 이번에 북한 해킹 그룹 김수키가 제작한 것으로 추정되는 악성 실행 파일은 .exe.hwp처럼 파일 확장자 우회 기법을 사용했다. 또한 교묘하게 아이콘을 한글 문서 아이콘으로 바꾸고 hwp 확장자 다음에 많은 띄어쓰기를 포함해 exe 확장자가 눈에 잘 띄지 않도록 한 것을 보았다. 또한 readme.txt 파일에 맞춤법도 잘 맞지 않는 것을 보았는데 조금만 신경을 쓰고 직원들이나 지인에게 이러한 방법이 있다는 것을 알려주어 경각심을 심어준다면 성공적으로 방어할 수 있을 거라는 생각이 든다.