김수키(Kimsuky) 그룹, 러시아 외무부를 타겟으로 우리 카지노추천 진행중!

김수키(Kimsuky) 그룹이 러시아 외무부를 타겟으로 진행한 우리 카지노추천이 포착되었습니다.

이번에 포착된 우리 카지노추천은 이메일을 통해 진행되었으며, Kimsuky 그룹은 선제적 우리 카지노추천을 통해 탈취한 심양 러시아 총 영사관 계정을 사용하여 일본 러시아 총 영사관에추가 우리 카지노추천행위를 시도한 것으로 추정됩니다.

​

​[그림 1] 러시아 총 영사관에 진행된 우리 카지노추천 메일

해당우리 카지노추천은대사관회계과를위장한이메일을통해시도되었으며,자금이체를위한대사관정보를보내드린다는내용과함께파일을첨부하였습니다.

첨부파일내에는다음과같은2개의파일이포함되어있습니다.
-_PyongyangintalkswithMoscowonaccesstoDonbass.pptx
-Donbass.ppam

1)_PyongyangintalkswithMoscowonaccesstoDonbass.pptx

[그림 2] _Pyongyang in talks with Moscow on access to Donbass.pptx 파일

해당 파일에서는 5월 22일 열렸던 남북정상회담 내용을 포함하고 있으며, 파일 내부에 외부 주소가 존재하지만 악성으로 보이는 부분은 존재하지 않습니다.

2)Donbass.ppam
해당 파일 내에는 매크로 코드가 포함되어 있습니다.

​

​[그림 3] Donbass.ppam 파일

​

[그림 4] Donbass.ppam 파일 내부에 포함되어 있는 매크로

매크로 내부에는 oup명의 vbs 파일이 포함되어 있으며, 해당 vbs 파일이 5분마다 실행되도록 작업 스케줄러 등록을 우리 카지노추천합니다.

해당vbs파일내에는우리 카지노추천자가지정해놓은C&C서버주소가포함되어있으며,5분마다한번씩실행하며우리 카지노추천자의추가명령을대기합니다.

ESRC분석시점,추가로내려지는악성파일이없어더이상분석이불가하였습니다.

이번우리 카지노추천에서주목할만한점은ppam확장자가사용되었다는것입니다.

일반적으로MS의PowerPoint를사용하여파일저장시,.ppt,.pptx확장자로저장이되는데해당확장자의경우매크로실행이허용되지않습니다.

반면,.ppam확장자는PowerPointAdd-In으로사용자지정명령,VBA(VisualBasicforApplications)코드및추가기능과같은특수기능을저장하는추가기능입니다.즉파일내부에VBA(VisualBasicforApplications)코드를포함하고있다는뜻이기도합니다.

PowerPoint에서지원되는파일형식에대한자세한내용은에서참고하실수있습니다.

최근우리 카지노추천자들이PowerPoint에VBA코드가포함되어있는.pptm,ppam과같은형태로우리 카지노추천을진행중에있는만큼,사용자여러분들은이메일첨부파일실행전,반드시확장자를확인하시기를권고드립니다.

​