국내 IP에서 유포된 PureCrypter 적용 Formbook 페이로드 분석
Contents
요약
피싱 사이트 및 악성코드 유포에 이용된 한국 ip를 식별했다.
공격자는 PureCrypter로 패킹된 Formbook 악성코드를 사용했다.
안티 디버깅, 여러 단계의 코드 인젝션 등 다양한 기법을 사용해 분석 난이도를 높이고 악성 행위를 은닉한다.
공격에 사용된 C&C 서버와 타 Kimsuky 공격 인프라 사이의 유사성이 발견됐다.
1. 개요
2025년 5월경 국내 ip 158.247.250[.]251와 관련있는 다수의 RAR, EXE 파일이 발견되었다. 해당 ip는 과거 DNS 기록에서 네이버 관련 피싱 인프라로 의심되는 도메인이 확인되었으며, VirusTotal에 네이버 로그인 관련 URL 질의 기록이 남아있다.
158.247.250[.]251의 URL 질의 기록
158.247.250[.]251의 URL 질의 기록
그중에 관련된 이메일 파일, 해당 이메일 첨부 파일인 RAR, EXE 파일은 한국에서 보고되었으며, 이메일을 수신한 이메일 계정 또한 한국 에너지 기업의 도메인이다. ip와 관련된 악성코드들은 한국 외에도 다양한 국가에 서로 다른 파일 이름으로 유포되었다. 유포된 파일은 분석 결과 PureCrypter로 패킹된 Formbook 악성코드로 확인되었다.
2. 악성코드 분석
공격 개요도
공격 개요도
2.1. 초기 접근
초기 접근 시 outlook 피싱 이메일을 전송하였다. 이메일 수신 도메인은 국내 에너지 기업의 도메인으로 확인되었다. 이메일에는 항공 화물 운송장으로 위장한 EXE 파일이 RAR 압축되어 첨부되어 있으며, 압축 …
피싱 사이트 및 악성코드 유포에 이용된 한국 ip를 식별했다.
공격자는 PureCrypter로 패킹된 Formbook 악성코드를 사용했다.
안티 디버깅, 여러 단계의 코드 인젝션 등 다양한 기법을 사용해 분석 난이도를 높이고 악성 행위를 은닉한다.
공격에 사용된 C&C 서버와 타 Kimsuky 공격 인프라 사이의 유사성이 발견됐다.
1. 개요
2025년 5월경 국내 ip 158.247.250[.]251와 관련있는 다수의 RAR, EXE 파일이 발견되었다. 해당 ip는 과거 DNS 기록에서 네이버 관련 피싱 인프라로 의심되는 도메인이 확인되었으며, VirusTotal에 네이버 로그인 관련 URL 질의 기록이 남아있다.
158.247.250[.]251의 URL 질의 기록
158.247.250[.]251의 URL 질의 기록
그중에 관련된 이메일 파일, 해당 이메일 첨부 파일인 RAR, EXE 파일은 한국에서 보고되었으며, 이메일을 수신한 이메일 계정 또한 한국 에너지 기업의 도메인이다. ip와 관련된 악성코드들은 한국 외에도 다양한 국가에 서로 다른 파일 이름으로 유포되었다. 유포된 파일은 분석 결과 PureCrypter로 패킹된 Formbook 악성코드로 확인되었다.
2. 악성코드 분석
공격 개요도
공격 개요도
2.1. 초기 접근
초기 접근 시 outlook 피싱 이메일을 전송하였다. 이메일 수신 도메인은 국내 에너지 기업의 도메인으로 확인되었다. 이메일에는 항공 화물 운송장으로 위장한 EXE 파일이 RAR 압축되어 첨부되어 있으며, 압축 …
IoC
http://www.aishiteru4.click/wirg/
http://www.h34ry.top/ssr8/
http://www.honghuo-qq2l2.sbs/aa4d/
http://www.g50tz.top/cdm7/
http://www.realbigteeth.net/29f4/
http://www.later.info/trou/
http://www.mastermohamedfight.top/o7rb/
http://www.parshmen.art/ym9z/
http://www.hirufm.lk/whj4/
http://www.artscriptor.info/a2d4/
http://www.fabu2024b01.xyz/ow2j/
http://www.japp4.icu/2q9x/
http://www.teamx.club/egab/
http://www.goldenstreamzxy.pro/vvrb/
http://www.lawson.co.jp/n307/
http://www.freedom.golf/ip3t/
http://www.donaldcoin.com/n66l/
http://www.kl3u2l.top/v5n7/
http://www.eufi.xyz/sk5i/
http://95.214.54.164
http://www.novatek.tech/o29b/
http://www.gorillalegends.xyz/xgry/
https://hunt.io/blog/million-ok-naver-facade-kimsuky-tracking
http://www.ogrex.org/w7hs/
http://158.247.250.251
http://www.u90hm.top/q3ld/
https://www.fortinet.com/blog/threat-research/deep-analysis-formbook-new-variant-delivered-phishing-campaign-part-ii
http://nidlip.onlinenservicesite.store
http://161.248.239.119
http://www.arcade.plus/lvbq/
http://www.070bn.shop/panb/
http://www.babyhan64.shop/4s99/
http://147.135.109.226
http://www.sticker.business/728a/
http://www.autorolluphub.xyz/ulhr/
http://www.imprint.boutique/eqc8/
http://menavcorp.store
http://IP158.247.250.251
http://www.asymptote.fund/geqw/
http://www.sanlou86.vip/4h4w/
http://www.dekoratifcamfilmi.xyz/gxr6/
http://www.agrimater.shop/o05o/
http://www.precisednutrition.net/z82q/
http://www.gamevui.shop/84g1/
http://www.fmtuxu.top/hlfg/
http://www.bmf.gv.at/bmvd/
http://www.adoptados.pet/rnaj/
http://www.resolve.fitness/d7x3/
http://www.cleartrek.top/e35m/
http://www.yourcredential.xyz/v4li/
http://www.dagdijital.xyz/bhvz/
http://www.tridentoutdoor.net/odp0/
http://www.cardo.work/am6j/
http://www.synergysynergyeqhu.lol/hjvu/
http://195.177.94.43
http://www.netbarg.com/r6jx/
http://www.businessauth.xyz/9nn7/
http://www.iconimax.org/geqw/
http://www.ml.com/zh1t/
http://www.itmoh.town/hwcx/
http://www.slayflu.xyz/n871/
http://158.247.240.40
http://www.dubrovnik.services/8fpw/
http://www.dgdetailing.pro/g9w4/
http://www.df96w.top/oodw/
http://www.ztg86.top/3whz/
http://www.farcana-drop.xyz/2p9m/
http://www.new8838.win/7evm/
http://www.thebriefingpod.media/hwu8/
http://www.uwd64.top/p1wy/
http://158.247.250.251/Gmfbssvfg.vdf
95.214.54.164
158.247.240.40
147.135.109.226
158.247.250.251
120.0.0.0
195.177.94.43
161.248.239.119
[email protected]
310ebb7ca19ff9b75d4054c340b0c82e
52a321e48902b8fbd1e984d9bd15f278
A872738399912091389AE9720D5E068A0EF3B7D4C42B1FF24EA864F6C85683E9
42d24ccfb0a05c5f299181ca3afc7ae3
e78be07019dfaf682c601985ac3ba424
108b5fd1b62489fd5cdb4ebd4a463226
ca9cb7bb06398670abc6d19186c336cd
3A665CF99A9B7A79F4FECB77BBE2BF5FF79687E3
6e5198c3aae9005cc58d011a8c6f0bec
1DC0668A628EA91766A75C87319A23B24939C07B
F96CF8CAFBAF112548F6F122D9270CCA
a6c26a0b5df0db6a35b15c24342f27f8
81bfe3b3204ede1fca418e44aa19b310
http://www.h34ry.top/ssr8/
http://www.honghuo-qq2l2.sbs/aa4d/
http://www.g50tz.top/cdm7/
http://www.realbigteeth.net/29f4/
http://www.later.info/trou/
http://www.mastermohamedfight.top/o7rb/
http://www.parshmen.art/ym9z/
http://www.hirufm.lk/whj4/
http://www.artscriptor.info/a2d4/
http://www.fabu2024b01.xyz/ow2j/
http://www.japp4.icu/2q9x/
http://www.teamx.club/egab/
http://www.goldenstreamzxy.pro/vvrb/
http://www.lawson.co.jp/n307/
http://www.freedom.golf/ip3t/
http://www.donaldcoin.com/n66l/
http://www.kl3u2l.top/v5n7/
http://www.eufi.xyz/sk5i/
http://95.214.54.164
http://www.novatek.tech/o29b/
http://www.gorillalegends.xyz/xgry/
https://hunt.io/blog/million-ok-naver-facade-kimsuky-tracking
http://www.ogrex.org/w7hs/
http://158.247.250.251
http://www.u90hm.top/q3ld/
https://www.fortinet.com/blog/threat-research/deep-analysis-formbook-new-variant-delivered-phishing-campaign-part-ii
http://nidlip.onlinenservicesite.store
http://161.248.239.119
http://www.arcade.plus/lvbq/
http://www.070bn.shop/panb/
http://www.babyhan64.shop/4s99/
http://147.135.109.226
http://www.sticker.business/728a/
http://www.autorolluphub.xyz/ulhr/
http://www.imprint.boutique/eqc8/
http://menavcorp.store
http://IP158.247.250.251
http://www.asymptote.fund/geqw/
http://www.sanlou86.vip/4h4w/
http://www.dekoratifcamfilmi.xyz/gxr6/
http://www.agrimater.shop/o05o/
http://www.precisednutrition.net/z82q/
http://www.gamevui.shop/84g1/
http://www.fmtuxu.top/hlfg/
http://www.bmf.gv.at/bmvd/
http://www.adoptados.pet/rnaj/
http://www.resolve.fitness/d7x3/
http://www.cleartrek.top/e35m/
http://www.yourcredential.xyz/v4li/
http://www.dagdijital.xyz/bhvz/
http://www.tridentoutdoor.net/odp0/
http://www.cardo.work/am6j/
http://www.synergysynergyeqhu.lol/hjvu/
http://195.177.94.43
http://www.netbarg.com/r6jx/
http://www.businessauth.xyz/9nn7/
http://www.iconimax.org/geqw/
http://www.ml.com/zh1t/
http://www.itmoh.town/hwcx/
http://www.slayflu.xyz/n871/
http://158.247.240.40
http://www.dubrovnik.services/8fpw/
http://www.dgdetailing.pro/g9w4/
http://www.df96w.top/oodw/
http://www.ztg86.top/3whz/
http://www.farcana-drop.xyz/2p9m/
http://www.new8838.win/7evm/
http://www.thebriefingpod.media/hwu8/
http://www.uwd64.top/p1wy/
http://158.247.250.251/Gmfbssvfg.vdf
95.214.54.164
158.247.240.40
147.135.109.226
158.247.250.251
120.0.0.0
195.177.94.43
161.248.239.119
[email protected]
310ebb7ca19ff9b75d4054c340b0c82e
52a321e48902b8fbd1e984d9bd15f278
A872738399912091389AE9720D5E068A0EF3B7D4C42B1FF24EA864F6C85683E9
42d24ccfb0a05c5f299181ca3afc7ae3
e78be07019dfaf682c601985ac3ba424
108b5fd1b62489fd5cdb4ebd4a463226
ca9cb7bb06398670abc6d19186c336cd
3A665CF99A9B7A79F4FECB77BBE2BF5FF79687E3
6e5198c3aae9005cc58d011a8c6f0bec
1DC0668A628EA91766A75C87319A23B24939C07B
F96CF8CAFBAF112548F6F122D9270CCA
a6c26a0b5df0db6a35b15c24342f27f8
81bfe3b3204ede1fca418e44aa19b310