김수키(Kimsuky)그룹의 'BlueShark' 위협 전술 분석
Contents
● LNK, ISO, MSC, HWP 등 다양한 유형의 Malware 사용
● 인터뷰, 특강, 강연 의뢰로 위장해 접근 시도
● 원드라이브, 프로톤 드라이브 등 클라우드를 통해 악성파일 전달
1. 개요 (Overview)
○ 2024년 상반기 동안 한국을 주요 거점으로 활동한 다양한 APT(지능형지속위협) 공격이 관찰됐습니다. 그 중 김수키(Kimsuky) 그룹의 활동을 빼 놓고 중요도를 논하기 어려울 만큼, 그야말로 위협의 중심에 있습니다.
○ 이들이 사용하는 'BabyShark' 패밀리는 발전을 거듭하고 있으며, 그 형태에 따라 'ToddlerShark', 'ReconShark' 등 여러 가지 별칭으로 일컬어집니다. 이중, MS관리콘솔(msc) 기반 공격전술은 '지니언스 시큐리티 센터(GSC)' 분석 보고서를 통해 처음으로 소개된 바 있고, Genian EDR 제품을 통해 이상행위 탐지 및 대응이 가능합니다.
○ 한편, GSC는 마치 강연의뢰서 문서처럼 위장한 악성파일이 'blushaak' 사이트에 등록된 것을 확인했습니다. 이에 이번 패밀리명을 'BlueShark'으로 명명했고, 여러 사례를 종합해 분석하고자 합니다.
○ 해당 조사 중 여러 명령제어(C2) 서버와 위협 행위자가 제작한 메일러의 언어학적 상관관계도 확인됩니다.
[그림 1-1] BlueShark 흐름도 및 피싱메일 발송기 연관관계 |
2. 배경 (Background)
○ 먼저 강연의뢰서 테마를 이용한 과거의 대표 사례를 살펴보겠습니다. 그중 2023년 5월 달에 …
● 인터뷰, 특강, 강연 의뢰로 위장해 접근 시도
● 원드라이브, 프로톤 드라이브 등 클라우드를 통해 악성파일 전달
1. 개요 (Overview)
○ 2024년 상반기 동안 한국을 주요 거점으로 활동한 다양한 APT(지능형지속위협) 공격이 관찰됐습니다. 그 중 김수키(Kimsuky) 그룹의 활동을 빼 놓고 중요도를 논하기 어려울 만큼, 그야말로 위협의 중심에 있습니다.
○ 이들이 사용하는 'BabyShark' 패밀리는 발전을 거듭하고 있으며, 그 형태에 따라 'ToddlerShark', 'ReconShark' 등 여러 가지 별칭으로 일컬어집니다. 이중, MS관리콘솔(msc) 기반 공격전술은 '지니언스 시큐리티 센터(GSC)' 분석 보고서를 통해 처음으로 소개된 바 있고, Genian EDR 제품을 통해 이상행위 탐지 및 대응이 가능합니다.
○ 한편, GSC는 마치 강연의뢰서 문서처럼 위장한 악성파일이 'blushaak' 사이트에 등록된 것을 확인했습니다. 이에 이번 패밀리명을 'BlueShark'으로 명명했고, 여러 사례를 종합해 분석하고자 합니다.
○ 해당 조사 중 여러 명령제어(C2) 서버와 위협 행위자가 제작한 메일러의 언어학적 상관관계도 확인됩니다.
[그림 1-1] BlueShark 흐름도 및 피싱메일 발송기 연관관계 |
2. 배경 (Background)
○ 먼저 강연의뢰서 테마를 이용한 과거의 대표 사례를 살펴보겠습니다. 그중 2023년 5월 달에 …
IoC
183.111.161.156
http://210.92.18.162
http://183.111.161.156
http://dorray.site
234158822419e64d8d3c177d3169bc3e
1549ede872ca017eea0f053ec08c0f34
http://cicctv.co.kr
391fa4e57f91e3422ef5d32523d4dfc7
158.247.223.235
http://osihi.store
d5dd153ac17a79723f33fb45849a533b
210.92.18.162
844fb1dddeb432d9c950965fb78d1c52
http://dh00386.com
http://temuco.xyz
152.32.243.136
b9116a07ec93f3f14e805851e24b0372
366dc66c1f46690de881c17290986741
dfa3a2ec607144b803c66816e1a996fa
http://152.32.243.136
ef8947d291107256cb5883ac3bc163d0
bec918dd7c6f9d09f6cb4caeeee6fe03
2af5efc90cecfb76935549a3f4d95613
112.175.50.142
http://jinsungm.com
http://mem.mcgnu.kro.kr
http://drequsm.secbesm.kro.kr
21ed2cad9dc18e453da40bc3ba5dd756
http://112.175.85.243
f25ae3627b4ec411882d56732e0fa433
16074a3f76b7860a180e0ec54dd19ed6
http://petssecondchance.larcity.dev
4c3039e229aaa4ffb5efec9f9764f077
http://158.247.223.235
309a3b7b130fdec0f383d7a6ea8f6c90
36c3af92792affb8a2f515526597d216
http://sig.quest
http://plutg.shop
http://communiquer.be
http://cafe24.pro
http://asanpolicy.lol
52d073c181531c7f0b8b3aa764c6551d
9.2.13.9
http://ns.gethompy.com
112.175.85.243
31909632fb7f1a53507f65a1ae96a519
c5685de9e05657ee5ae4c3b29fc08dd4
http://handhygieneforhealth.org
http://112.175.50.142
http://nzzstore.site
5654c2280c193fc7dc0e6919bd240435
http://rem.zoom-meeting.kro.kr
http://blushaak.co.kr
http://210.92.18.162
http://183.111.161.156
http://dorray.site
234158822419e64d8d3c177d3169bc3e
1549ede872ca017eea0f053ec08c0f34
http://cicctv.co.kr
391fa4e57f91e3422ef5d32523d4dfc7
158.247.223.235
http://osihi.store
d5dd153ac17a79723f33fb45849a533b
210.92.18.162
844fb1dddeb432d9c950965fb78d1c52
http://dh00386.com
http://temuco.xyz
152.32.243.136
b9116a07ec93f3f14e805851e24b0372
366dc66c1f46690de881c17290986741
dfa3a2ec607144b803c66816e1a996fa
http://152.32.243.136
ef8947d291107256cb5883ac3bc163d0
bec918dd7c6f9d09f6cb4caeeee6fe03
2af5efc90cecfb76935549a3f4d95613
112.175.50.142
http://jinsungm.com
http://mem.mcgnu.kro.kr
http://drequsm.secbesm.kro.kr
21ed2cad9dc18e453da40bc3ba5dd756
http://112.175.85.243
f25ae3627b4ec411882d56732e0fa433
16074a3f76b7860a180e0ec54dd19ed6
http://petssecondchance.larcity.dev
4c3039e229aaa4ffb5efec9f9764f077
http://158.247.223.235
309a3b7b130fdec0f383d7a6ea8f6c90
36c3af92792affb8a2f515526597d216
http://sig.quest
http://plutg.shop
http://communiquer.be
http://cafe24.pro
http://asanpolicy.lol
52d073c181531c7f0b8b3aa764c6551d
9.2.13.9
http://ns.gethompy.com
112.175.85.243
31909632fb7f1a53507f65a1ae96a519
c5685de9e05657ee5ae4c3b29fc08dd4
http://handhygieneforhealth.org
http://112.175.50.142
http://nzzstore.site
5654c2280c193fc7dc0e6919bd240435
http://rem.zoom-meeting.kro.kr
http://blushaak.co.kr