페이스북과 MS관리콘솔을 활용한 Kimsuky APT 공격 발견
Contents
◈ 주요 요약 (Executive Summary)
- 북한인권분야 공직자 신분처럼 위장, 페이스북으로 공격대상 물색
- 페이스북 메신저로 개인별 접근 후 가벼운 인사와 대화 시작
- 특정 문서 파일인 것처럼 속여 악성 URL 링크 주소 공유
- 원드라이브 클라우드 서비스를 통해 MSC 기반 위협 관찰
- Kimsuky 그룹의 ReconShark 유사 악성 코드 식별
1. 개요 (Overview)
○ 지니언스 시큐리티 센터(이하 GSC)는 Kimsuky APT 그룹이 새로운 공격 전략을 도입한 것을 발견해, 한국인터넷진흥원(KISA) 위협 인텔리전스 네트워크 협력을 통해 민관 공동 분석과 대응을 진행했습니다. 특히, 이번 APT 공격은 미국 기업 메타가 소유한 온라인 소셜 네트워크 서비스인 페이스북(Facebook) 서비스가 초기 침투에 활용됐습니다.
○ 위협 행위자(Threat Actor)는 마치 한국내 북한인권분야 소속의 공직자처럼 위장한 가짜 신분의 페이스북 계정을 만든 후, 주요 대북분야 및 안보관련 종사자를 대상으로 온라인 친구신청과 전용 메신저로 접근을 시도했습니다.
[그림 1] Kimsuky 그룹의 Facebook 기반 ReconShark 공격 흐름도
2. 공격 시나리오 (Attack Scenario)
○ 우선 이번 위협의 대표적 특징은 한국내 특정 공직자 프로필처럼 만든 가짜 페이스북 계정이 등장한다는 점입니다. 국내 실존 인물의 명의를 도용해 SNS 기반 …
- 북한인권분야 공직자 신분처럼 위장, 페이스북으로 공격대상 물색
- 페이스북 메신저로 개인별 접근 후 가벼운 인사와 대화 시작
- 특정 문서 파일인 것처럼 속여 악성 URL 링크 주소 공유
- 원드라이브 클라우드 서비스를 통해 MSC 기반 위협 관찰
- Kimsuky 그룹의 ReconShark 유사 악성 코드 식별
1. 개요 (Overview)
○ 지니언스 시큐리티 센터(이하 GSC)는 Kimsuky APT 그룹이 새로운 공격 전략을 도입한 것을 발견해, 한국인터넷진흥원(KISA) 위협 인텔리전스 네트워크 협력을 통해 민관 공동 분석과 대응을 진행했습니다. 특히, 이번 APT 공격은 미국 기업 메타가 소유한 온라인 소셜 네트워크 서비스인 페이스북(Facebook) 서비스가 초기 침투에 활용됐습니다.
○ 위협 행위자(Threat Actor)는 마치 한국내 북한인권분야 소속의 공직자처럼 위장한 가짜 신분의 페이스북 계정을 만든 후, 주요 대북분야 및 안보관련 종사자를 대상으로 온라인 친구신청과 전용 메신저로 접근을 시도했습니다.
[그림 1] Kimsuky 그룹의 Facebook 기반 ReconShark 공격 흐름도
2. 공격 시나리오 (Attack Scenario)
○ 우선 이번 위협의 대표적 특징은 한국내 특정 공직자 프로필처럼 만든 가짜 페이스북 계정이 등장한다는 점입니다. 국내 실존 인물의 명의를 도용해 SNS 기반 …
IoC
162.0.209.27
162.0.209.91
199.59.243.225
1dd007b44034bb3ce127b553873171e5
49bac05068a79314e00c28b163889263
5.9.123.217
52.177.14.24
56fa059cf7dc562ce0346b943e8f58bb
69.163.180.70
75ec9f68a5b62705c115db5119a78134
7ca1a603a7440f1031c666afbe44afc8
a12757387f178a0ec092fb5360e4f473
aa8bd550de4f4dee6ab0bfca82848d44
b5080c0d123ce430f1e28c370a0fa18b
e86a24d9f3a42bbb8edc0ca1f8b3715c
http://162.0.209.27
http://162.0.209.91
http://199.59.243.225
http://5.9.123.217
http://52.177.14.24
http://69.163.180.70
http://beastmodser.club/sil/0304/VOA_Korea.docx
http://beastmodser.club/sil/0304/d.php?na=version.gif
http://brandwizer.co.in
http://brandwizer.co.in/green_pad/wp-content/plugins/custom-post-type-maker/essay/d.php?na=battmp
http://brandwizer.co.in/green_pad/wp-content/plugins/custom-post-type-maker/essay/r.php
http://brandwizer.co.in/green_pad/wp-content/plugins/custom-post-type-maker/essay/share
http://brandwizer.co.in/green_pad/wp-content/plugins/custom-post-type-maker/essay/ttt.hta
http://brandwizer.co.in/green_pad/wp-content/plugins/custom-post-type-maker/kohei/r.php
http://brandwizer.co.in/green_pad/wp-content/plugins/custom-post-type-marker/ayaka/ttt.hta
http://dusieme.com/hwp/d.php?na=sched.gif
http://dusieme.com/js/cic0117/ca.php?na=dot_emsi.gif
http://dusieme.com/panda/TBS
http://dusieme.com/panda/d.php?na=vbtmp
http://ielsems.com/panda/d.php?na=battmp
http://ielsems.com/romeo/d.php?na=vbtmp
http://joongang.site/pprb/sec/d.php?na=battmp
http://joongang.site/pprb/sec/r.php
http://login-main.bigwnet.com
http://makeoversalon.net.in
http://makeoversalon.net.in/wp-content/plugins/wp-custom-taxonomy-image/iiri/share.docx
http://mitmail.tech/gorgon/ca.php?na=vbs.gif
http://mitmail.tech/gorgon/ca.php?na=video.gif
http://nuclearpolicy101.org/wp-admin/includes/0421/d.php?na=vbtmp
http://nuclearpolicy101.org/wp-admin/includes/0603/d.php?na=battmp
http://nuclearpolicy101.org/wp-admin/includes/lee/leeplug/cow.php
http://rapportdown.lol/rapport/com/ca.php?na=reg.gif
http://rapportdown.lol/rapport/com/ca.php?na=video.gif
http://rfa.ink
http://rfa.ink/bio/d.php?na=battmp
http://rfa.ink/bio/d.php?na=vbtmp
http://rfa.ink/bio/r.php|
http://seoulhobi.biz
http://worldinfocontact.club/111/d.php
http://worldinfocontact.club/111/kfrie/cow.php
http://yonsei.lol
162.0.209.91
199.59.243.225
1dd007b44034bb3ce127b553873171e5
49bac05068a79314e00c28b163889263
5.9.123.217
52.177.14.24
56fa059cf7dc562ce0346b943e8f58bb
69.163.180.70
75ec9f68a5b62705c115db5119a78134
7ca1a603a7440f1031c666afbe44afc8
a12757387f178a0ec092fb5360e4f473
aa8bd550de4f4dee6ab0bfca82848d44
b5080c0d123ce430f1e28c370a0fa18b
e86a24d9f3a42bbb8edc0ca1f8b3715c
http://162.0.209.27
http://162.0.209.91
http://199.59.243.225
http://5.9.123.217
http://52.177.14.24
http://69.163.180.70
http://beastmodser.club/sil/0304/VOA_Korea.docx
http://beastmodser.club/sil/0304/d.php?na=version.gif
http://brandwizer.co.in
http://brandwizer.co.in/green_pad/wp-content/plugins/custom-post-type-maker/essay/d.php?na=battmp
http://brandwizer.co.in/green_pad/wp-content/plugins/custom-post-type-maker/essay/r.php
http://brandwizer.co.in/green_pad/wp-content/plugins/custom-post-type-maker/essay/share
http://brandwizer.co.in/green_pad/wp-content/plugins/custom-post-type-maker/essay/ttt.hta
http://brandwizer.co.in/green_pad/wp-content/plugins/custom-post-type-maker/kohei/r.php
http://brandwizer.co.in/green_pad/wp-content/plugins/custom-post-type-marker/ayaka/ttt.hta
http://dusieme.com/hwp/d.php?na=sched.gif
http://dusieme.com/js/cic0117/ca.php?na=dot_emsi.gif
http://dusieme.com/panda/TBS
http://dusieme.com/panda/d.php?na=vbtmp
http://ielsems.com/panda/d.php?na=battmp
http://ielsems.com/romeo/d.php?na=vbtmp
http://joongang.site/pprb/sec/d.php?na=battmp
http://joongang.site/pprb/sec/r.php
http://login-main.bigwnet.com
http://makeoversalon.net.in
http://makeoversalon.net.in/wp-content/plugins/wp-custom-taxonomy-image/iiri/share.docx
http://mitmail.tech/gorgon/ca.php?na=vbs.gif
http://mitmail.tech/gorgon/ca.php?na=video.gif
http://nuclearpolicy101.org/wp-admin/includes/0421/d.php?na=vbtmp
http://nuclearpolicy101.org/wp-admin/includes/0603/d.php?na=battmp
http://nuclearpolicy101.org/wp-admin/includes/lee/leeplug/cow.php
http://rapportdown.lol/rapport/com/ca.php?na=reg.gif
http://rapportdown.lol/rapport/com/ca.php?na=video.gif
http://rfa.ink
http://rfa.ink/bio/d.php?na=battmp
http://rfa.ink/bio/d.php?na=vbtmp
http://rfa.ink/bio/r.php|
http://seoulhobi.biz
http://worldinfocontact.club/111/d.php
http://worldinfocontact.club/111/kfrie/cow.php
http://yonsei.lol