北 연계 탈륨조직, '블루 에스티메이트(Blue Estimate)' APT 캠페인 지속
Contents
北 연계 탈륨조직, '블루 에스티메이트(Blue Estimate)' APT 캠페인 지속
안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.
2019년 말 미국 마이크로소프트(MS)사가 고소하면서 알려진 북한 연계 해킹그룹 ‘탈륨(Thallium)’의 새로운 지능형지속위협(APT) 공격 징후가 포착됐습니다. 탈륨은 일명 김수키(Kimsuky)라는 이름으로도 알려져 있습니다.
ESRC는 11월에 제작된 신규 악성파일이 지난 2019년 12월 04일 '김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격' 제목의 【블루 에스티메이트(Blue Estimate)】 APT 캠페인 시리즈로 확인했습니다.
현재 위협 행위자는 한국 과학기술연구, 방위산업 등 멀티 APT 공격을 수행 중입니다. 이들은 다양한 분야에 대한 사이버 위협활동을 지속하고 있으며, 그 활성도가 매우 높은 상태로 감지되고 있습니다.
지난 11월 04일 정찰 및 침투목적의 악성 이메일을 발송한 정황이 포착된 바 있는데, 이때 사용된 명령제어(C2) 호스트 주소는 다음과 같습니다.
그리고 'kaist-ac[.]xyz' 도메인도 11월 관찰됐고, '탈륨조직의 국내 암호화폐 지갑 펌웨어로 위장한 다차원 APT 공격 분석' 사례와 동일한 'porkbun' 서비스에서 등록됐습니다. 놀라운 점은 공격대상 분야의 실제 아이피 대역이 일시 연결된 점입니다.
- kaist.r-naver[.]com (185.224.137.164)
- kaist.krfa[.]ml (185.224.138.29)
- www.kaist-ac[.]xyz (185.224.138.29)
- mail.kaist-ac[.]xyz (143.248.155.65)
- vpn.karist[.]cf (216.189.159.36)
- app.veryton[.]ml (216.189.159.36)
Domain Name: KAIST-AC.XYZ
Registrar URL: https://porkbun.com
Updated Date: 2020-11-10T19:11:40.0Z
Creation Date: …
안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.
2019년 말 미국 마이크로소프트(MS)사가 고소하면서 알려진 북한 연계 해킹그룹 ‘탈륨(Thallium)’의 새로운 지능형지속위협(APT) 공격 징후가 포착됐습니다. 탈륨은 일명 김수키(Kimsuky)라는 이름으로도 알려져 있습니다.
ESRC는 11월에 제작된 신규 악성파일이 지난 2019년 12월 04일 '김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격' 제목의 【블루 에스티메이트(Blue Estimate)】 APT 캠페인 시리즈로 확인했습니다.
현재 위협 행위자는 한국 과학기술연구, 방위산업 등 멀티 APT 공격을 수행 중입니다. 이들은 다양한 분야에 대한 사이버 위협활동을 지속하고 있으며, 그 활성도가 매우 높은 상태로 감지되고 있습니다.
지난 11월 04일 정찰 및 침투목적의 악성 이메일을 발송한 정황이 포착된 바 있는데, 이때 사용된 명령제어(C2) 호스트 주소는 다음과 같습니다.
그리고 'kaist-ac[.]xyz' 도메인도 11월 관찰됐고, '탈륨조직의 국내 암호화폐 지갑 펌웨어로 위장한 다차원 APT 공격 분석' 사례와 동일한 'porkbun' 서비스에서 등록됐습니다. 놀라운 점은 공격대상 분야의 실제 아이피 대역이 일시 연결된 점입니다.
- kaist.r-naver[.]com (185.224.137.164)
- kaist.krfa[.]ml (185.224.138.29)
- www.kaist-ac[.]xyz (185.224.138.29)
- mail.kaist-ac[.]xyz (143.248.155.65)
- vpn.karist[.]cf (216.189.159.36)
- app.veryton[.]ml (216.189.159.36)
Domain Name: KAIST-AC.XYZ
Registrar URL: https://porkbun.com
Updated Date: 2020-11-10T19:11:40.0Z
Creation Date: …
IoC
143.248.155.65
185.224.137.164
185.224.138.29
216.189.159.36
45.13.135.103
http://accountcheck.net
http://ahnlab-vac.hol.es
http://app.veryton.ml
http://appmedicine.whoint.cf
http://assembly-check-loader.pe.hu
http://bidmc.accountcheck.net
http://bigfile.hol.es
http://bigfile.pe.hu
http://binance.member-info.net
http://bmail-or-kr.esy.es
http://check.sejong-downloader.pe.hu
http://ck.daum-vip.pe.hu
http://daum-center.net
http://daum-do.pe.hu
http://daurn.pe.hu
http://duaum.net
http://eastsea.or.kr
http://email-hanwha.pe.hu
http://firmware.kasse-tech.club
http://gabia.pe.hu
http://genexine.member-info.net
http://hdac.wallet-info.esy.es
http://hi-hardwallet.esy.es
http://jnj.accountcheck.net
http://kaist-ac.xyz
http://kaist.krfa.ml
http://kaist.r-naver.com
http://kasse.hdactech.info
http://kimm.r-naver.com
http://logenv.rrnaver.com
http://logins.udaum.net
http://mail.astrozeneca.ml
http://mail.kaist-ac.xyz
http://mail.malyshevplant.hol.es
http://mail.otokar.esy.es
http://member-authorize.com
http://member-info.net
http://members.daurn.hol.es
http://my-homework.890m.com
http://nagoya.datastore.pe.hu
http://naver.hol.es
http://naver.member-info.net
http://nhn.webuserinfo.com
http://nidlogin.c-naver.com
http://orbit.wallet-info.esy.es
http://outlook.accountcheck.net
http://pro-navor.com
http://pusan.accountcheck.net
http://renk-ag.member-info.net
http://rrnaver.com
http://shinpoong.accountcheck.net
http://shinpoong.accountcheck.net
http://shinpoong.r-naver.com
http://shkj.hol.es
http://snt.member-info.com
http://snu.ac-kr.esy.es
http://suzuki.datastore.pe.hu
http://toyota.datastore.pe.hu
http://udaum.net
http://ukroboronprom.udaum.net
http://upd.hdac-tech.buzz
http://updown.kasse-tech.club
http://upload.bigfile-nate.pe.hu
http://vdaum.net
http://vpn.karist.cf
http://wallet-info.esy.es
http://webuserinfo.com
http://who.miniodaum.ml
http://www.kaist-ac.xyz
http://yahoocenter.member-info.net
http://yonsei.member-info.net
https://porkbun.com
[email protected]
[email protected]
[email protected]
185.224.137.164
185.224.138.29
216.189.159.36
45.13.135.103
http://accountcheck.net
http://ahnlab-vac.hol.es
http://app.veryton.ml
http://appmedicine.whoint.cf
http://assembly-check-loader.pe.hu
http://bidmc.accountcheck.net
http://bigfile.hol.es
http://bigfile.pe.hu
http://binance.member-info.net
http://bmail-or-kr.esy.es
http://check.sejong-downloader.pe.hu
http://ck.daum-vip.pe.hu
http://daum-center.net
http://daum-do.pe.hu
http://daurn.pe.hu
http://duaum.net
http://eastsea.or.kr
http://email-hanwha.pe.hu
http://firmware.kasse-tech.club
http://gabia.pe.hu
http://genexine.member-info.net
http://hdac.wallet-info.esy.es
http://hi-hardwallet.esy.es
http://jnj.accountcheck.net
http://kaist-ac.xyz
http://kaist.krfa.ml
http://kaist.r-naver.com
http://kasse.hdactech.info
http://kimm.r-naver.com
http://logenv.rrnaver.com
http://logins.udaum.net
http://mail.astrozeneca.ml
http://mail.kaist-ac.xyz
http://mail.malyshevplant.hol.es
http://mail.otokar.esy.es
http://member-authorize.com
http://member-info.net
http://members.daurn.hol.es
http://my-homework.890m.com
http://nagoya.datastore.pe.hu
http://naver.hol.es
http://naver.member-info.net
http://nhn.webuserinfo.com
http://nidlogin.c-naver.com
http://orbit.wallet-info.esy.es
http://outlook.accountcheck.net
http://pro-navor.com
http://pusan.accountcheck.net
http://renk-ag.member-info.net
http://rrnaver.com
http://shinpoong.accountcheck.net
http://shinpoong.accountcheck.net
http://shinpoong.r-naver.com
http://shkj.hol.es
http://snt.member-info.com
http://snu.ac-kr.esy.es
http://suzuki.datastore.pe.hu
http://toyota.datastore.pe.hu
http://udaum.net
http://ukroboronprom.udaum.net
http://upd.hdac-tech.buzz
http://updown.kasse-tech.club
http://upload.bigfile-nate.pe.hu
http://vdaum.net
http://vpn.karist.cf
http://wallet-info.esy.es
http://webuserinfo.com
http://who.miniodaum.ml
http://www.kaist-ac.xyz
http://yahoocenter.member-info.net
http://yonsei.member-info.net
https://porkbun.com
[email protected]
[email protected]
[email protected]