출처 : 중앙일보

https://www.joongang.co.kr/article/25140424#home 

북한 해커조직 ‘김수키’(Kimsuky)가 정상 워드 문서로 위장한 악성코드를 방송 및 일반 기업까지 확대한 것으로 나타났다.

14일 안랩에 따르면 김수키가 만든 악성 코드가 자기소개서와 앱 서비스 제안서 등의 형태로 유포되고 있다.

유포가 확인된 파일명은 ‘[kbs 일요진단]질문지.docx’ ‘임** 자기소개서.docx’ ‘app-planning-copy.docx’ 등이다.

해당 파일을 내려받으면 여기에 포함돼 있던 악성 매크로가 실행되면서 cURL(Client URL) 명령어가 포함된 파일을 생성 및 실행한다.

이 파일에는 추가 악성 스크립트 다운로드 및 실행 코드가 들어 있어 실행 시 최근 연 워드 문서 목록, 시스템에 설치된 바이러스 백신 정보, 시스템 내 다운로드 폴더 경로 정보, 실행 중인 프로세스 정보 등이 외부로 유출된다.