북한 해킹 조직 김수키 에서 만든 악성코드-KISA Mobile Security(2021.07.1)
Contents
오늘은 늦은 감은 있지만 북한 해킹 조직 김수키 에서 만든 한국인터넷진흥원(KISA)을 사칭하는 악성코드 인 KISA Mobile Security.apk에 대해 글을 적어 보겠습니다. 단 북한에서 해커 조직이라고 하면 김수키(Kimsuky=탈륨(Thallium), 라자루스(Lazarus)가 있습니다.
APT 조직이 지난 2017년 시스코 탈로스를 통해 알려진 코니 조직과 같은 C2 인프라 이용을 해서 가상 화폐를 훔치는 수법을 사용하고 있으면 김수키(Kimsuky=탈륨(Thallium)는 지난 2015년 도에서는 한수원 자료 유출한 원전 반대 그룹 이름으로 2015년 12월 25일에는 한국 원자력 발전소(핵발전소)를 파괴를 하겠다고 했던 그룹입니다.
이번에서는 메일을 통해 한국인터넷진흥원(KISA) 앱을 유포를 하고 있으면 KISA 보안 프로그램으로 위장한 가짜 KISA 백신 또는 보안 안드로이드 앱입니다. 해당 악성코드는 이메일에서 APK 파일을 다운로드하고 기기에 애플리케이션을 설치하면 악성 코드가 작동을 하며 스마프톤 사용자는 모르는 상태에서 백그라운드에서 실행되고 그의 장치에서 민감한 정보를 수집합니다.
Kimsuky APT 그룹에서 사용하는 다른 수법은 다음과 같습니다.
[소프트웨어 팁/보안 및 분석] - 북한 에서 만든것으로 추정 되는 가상화폐 훔치는 악성코드-DropPang.apk(드롭팡)
보안을 주제로 한 피싱 이메일
워터링 홀 공격
토렌트 공유 통해 배포되는 악성 코드
브라우저 확장
위협 행위자가 피해자의 장치/네트워크에 액세스 하면 다음 정보를 …
APT 조직이 지난 2017년 시스코 탈로스를 통해 알려진 코니 조직과 같은 C2 인프라 이용을 해서 가상 화폐를 훔치는 수법을 사용하고 있으면 김수키(Kimsuky=탈륨(Thallium)는 지난 2015년 도에서는 한수원 자료 유출한 원전 반대 그룹 이름으로 2015년 12월 25일에는 한국 원자력 발전소(핵발전소)를 파괴를 하겠다고 했던 그룹입니다.
이번에서는 메일을 통해 한국인터넷진흥원(KISA) 앱을 유포를 하고 있으면 KISA 보안 프로그램으로 위장한 가짜 KISA 백신 또는 보안 안드로이드 앱입니다. 해당 악성코드는 이메일에서 APK 파일을 다운로드하고 기기에 애플리케이션을 설치하면 악성 코드가 작동을 하며 스마프톤 사용자는 모르는 상태에서 백그라운드에서 실행되고 그의 장치에서 민감한 정보를 수집합니다.
Kimsuky APT 그룹에서 사용하는 다른 수법은 다음과 같습니다.
[소프트웨어 팁/보안 및 분석] - 북한 에서 만든것으로 추정 되는 가상화폐 훔치는 악성코드-DropPang.apk(드롭팡)
보안을 주제로 한 피싱 이메일
워터링 홀 공격
토렌트 공유 통해 배포되는 악성 코드
브라우저 확장
위협 행위자가 피해자의 장치/네트워크에 액세스 하면 다음 정보를 …
IoC
104.128.239.70
16b3487022b674040227afc8979ffedd2f70b67e
4bcf16f3cf0dd24b88d4cae20d997343638e166d3758b4b39fdb00c1f5ca36675899aa32ef6cf346895e334f0d810a8649382a6581fa7f7cde01450272a763ba
4d3537c428f49696b78b115a8c2877b8633264d4
c31b38e79c5ee96161527fd72e2672e2ed82c251
e7caf25de7ce463a6f22ecb8689389ad
fe1a734019f0dc714bd3360e2369853ea97c02f108afe963769318934470967b
http://104.128.239.70:80
http://app.at-me.ml/index.php?m=b&p1=56d92eaa24f68947&p2=a
http://app.at-me.ml/index.php?m=d&p1=56d92eaa24f68947
http://schemas.android.com/apk/res/android
16b3487022b674040227afc8979ffedd2f70b67e
4bcf16f3cf0dd24b88d4cae20d997343638e166d3758b4b39fdb00c1f5ca36675899aa32ef6cf346895e334f0d810a8649382a6581fa7f7cde01450272a763ba
4d3537c428f49696b78b115a8c2877b8633264d4
c31b38e79c5ee96161527fd72e2672e2ed82c251
e7caf25de7ce463a6f22ecb8689389ad
fe1a734019f0dc714bd3360e2369853ea97c02f108afe963769318934470967b
http://104.128.239.70:80
http://app.at-me.ml/index.php?m=b&p1=56d92eaa24f68947&p2=a
http://app.at-me.ml/index.php?m=d&p1=56d92eaa24f68947
http://schemas.android.com/apk/res/android