북한의 해킹 조직(Kimsuky)에서 피싱 메일을 보내려고 만든 악성코드 MailSending(Phishing mail tool)
북한의 해킹 단체 Thallium, APT37과 관련된 단체이며 Kimsuky에서 만든 MailSending
파일 명 : MailSending.exe
사이즈 : 2.33MB
MD5 : 67e06fae0cd9c27c29622c79214f92a4
SHA-1 : c28a5bae3604c4aeece90ea4cd450099a05c0db6
SHA-256 : bb9c0396a61fa16d8c482a4a17e520fae908aa826e54243da6473494fa5f2305
해당 악성코드는 피싱 메일을 보내기 위해 만든 도구임
다음과 같은 전자 메일을 사용하는 사람들을 타겟으로 하고 있음
- naver
- daum
- nate
- gamil
- hotmail
- yahoo
- From_Name : 보낸 사람
- From_Address : 보내는 사람의 이메일 주소
- Auto Sending : 자동으로 이메일을 보내려고 하는 시간 설정
- Mail Subject : 피싱 메일의 제목
- Phishing URL : 피싱 URL
- Server : 서버
- Login IP : 로그인 IP
보낼 URL 주소 확인
메일 전송
원래 메일을 전송하면 확인할 수 있어야 하지만, 현재 Sending URL 부분에 존재하는 악성파일이 삭제 조치되어 확인 불가
타 사이트를 통해 해당 부분이 기존에 어떤 폼이었는지 확인 가능함
Kimsuky에서는 계정을 탈취하여 가상화폐 및 암호화폐, 개인정보, 금융 정보, 금전 등을 탈취한다고 판단
IDA 분석
메일 보내는 Form
base64 인코딩된 부분은 “daum.net/accounts/signinform.do”로 확인됨 (daum 페이지)
daum, google, microsoft, yahoo 메일 사용
IP들은 프랑스 등 해외 IP로 확인됨
'study' 카테고리의 다른 글
| APT 문서형 악성코드 분석 (0) | 2025.11.18 |
|---|---|
| 악성코드 유사성 비교 방법 (0) | 2025.11.18 |
| 악성코드 분석 시 C&C 서버 다운으로 통신 실패할 때 데이터 내용 확인 방법 (0) | 2025.11.18 |
| dnSpy를 이용한 .NET 악성코드 분석 방법 (0) | 2025.11.18 |
| Decompiler - IDA Pro에서 32bit-ARM 악성코드 파일의 Syscall 자동검색 IDAPython 코드 (0) | 2025.11.18 |
