2021년 상반기 Kimsuky 공격 동향
Contents
보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
2021년 상반기 Kimsuky 공격 동향
2021.09.01
61,840
|
|
구분
|
|
기간
|
|
공격 카테고리
|
|
공격방식
|
|
1
|
|
2020년 11월 ~ 2021년 3월
|
|
설문조사
|
|
문서 파일 내부의 VBA 코드를 이용하여 PC 정보 수집 후 C2에 업로드
|
|
2
|
|
2020년 6월 ~ 현재
|
|
국제 정세
|
|
문서 파일 내부의 VBA 코드에서 Powershell 코드를 사용하여 파일 다운로드 후 PC 정보 수집 후 C2에 업로드
|
|
3
|
|
2020년 12월 ~ 현재
|
|
바이든 정부 정책, 북한 정세 테마
(가장 많이 사용)
|
|
문서
파일 내부의 VBA
코드에서
XML 파일로 저장 후 C2에 업로드
|
|
4
|
|
2021년 6월 ~ 현재
|
|
Google 블로그, 회의 및 설문지
|
|
1. 특정경로의 설정 파일 (.ini)을 실행하도록 바탕화면 바로가기를 생성
2. 설정파일 실행 시 악성 스크립트가 업로드 된 Google 블로그에 연결 후 다운로드 및 수집된 정보 업로드 시도
|
|
5
|
|
2020년 12월 ~ 현재
|
|
테스트를 가장한 미끼 문서
(가장 적게 사용)
|
|
한글 문서 실행 시 dll 파일 다운로드 후 VBS 스크립트 실행하며 공격에 사용되는 파일을 OneDrive에서 다운로드 받아 사용
|
|
NO
|
|
MD5
|
|
파일명
|
|
생성시간
|
|
만든이
마지막으로 수정한 사람
|
|
C2
|
|
1
|
|
d7b717134358bbeefc5796b5912369f0
|
|
사례비_지급의뢰서.doc
|
|
2021-03-19
09:00:32
|
|
Network Group / Naeil_영문시작
|
|
hxxp://ftcpark59[.]getenjoyment[.]net/1703/v[.]php
|
|
2
|
|
6a614ca002c5b3a4d7023faffc0546e1
|
|
[설문지] 2021 데이터기반 미래전망 연구 _(평화안보).doc
|
|
2021-03-02
09:01:00
|
|
Network Group / Network Group
|
|
hxxp://hanlight[.]mygamesonline[.]org/2403/v[.]php
|
|
3
|
|
bce51419fae8acbeff3149ca53f8baad
|
|
기획설문.doc
|
|
2021-03-02
09:01:00
|
|
Network Group / Network Group
|
|
hxxp://200[.]200[.]200[.]200/test/v[.]php
|
|
4
|
|
49a04c85555b35f998b1787b325526e6/
c9f23b6ee1ba97c753892e6c103521d6
|
|
Network Group / Naeil_영문시작
|
|
hxxp://eucie09111[.]myartsonline[.]com/0502/v[.]php
|
|
5
|
|
5b2355014f72dc2714dc5a5f04fe9519
|
|
확인 불가능
(설문조사 내용)
|
|
2021-01-20
06:14:00
|
|
Egg …
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
2021년 상반기 Kimsuky 공격 동향
2021.09.01
61,840
|
|
구분
|
|
기간
|
|
공격 카테고리
|
|
공격방식
|
|
1
|
|
2020년 11월 ~ 2021년 3월
|
|
설문조사
|
|
문서 파일 내부의 VBA 코드를 이용하여 PC 정보 수집 후 C2에 업로드
|
|
2
|
|
2020년 6월 ~ 현재
|
|
국제 정세
|
|
문서 파일 내부의 VBA 코드에서 Powershell 코드를 사용하여 파일 다운로드 후 PC 정보 수집 후 C2에 업로드
|
|
3
|
|
2020년 12월 ~ 현재
|
|
바이든 정부 정책, 북한 정세 테마
(가장 많이 사용)
|
|
문서
파일 내부의 VBA
코드에서
XML 파일로 저장 후 C2에 업로드
|
|
4
|
|
2021년 6월 ~ 현재
|
|
Google 블로그, 회의 및 설문지
|
|
1. 특정경로의 설정 파일 (.ini)을 실행하도록 바탕화면 바로가기를 생성
2. 설정파일 실행 시 악성 스크립트가 업로드 된 Google 블로그에 연결 후 다운로드 및 수집된 정보 업로드 시도
|
|
5
|
|
2020년 12월 ~ 현재
|
|
테스트를 가장한 미끼 문서
(가장 적게 사용)
|
|
한글 문서 실행 시 dll 파일 다운로드 후 VBS 스크립트 실행하며 공격에 사용되는 파일을 OneDrive에서 다운로드 받아 사용
|
|
NO
|
|
MD5
|
|
파일명
|
|
생성시간
|
|
만든이
마지막으로 수정한 사람
|
|
C2
|
|
1
|
|
d7b717134358bbeefc5796b5912369f0
|
|
사례비_지급의뢰서.doc
|
|
2021-03-19
09:00:32
|
|
Network Group / Naeil_영문시작
|
|
hxxp://ftcpark59[.]getenjoyment[.]net/1703/v[.]php
|
|
2
|
|
6a614ca002c5b3a4d7023faffc0546e1
|
|
[설문지] 2021 데이터기반 미래전망 연구 _(평화안보).doc
|
|
2021-03-02
09:01:00
|
|
Network Group / Network Group
|
|
hxxp://hanlight[.]mygamesonline[.]org/2403/v[.]php
|
|
3
|
|
bce51419fae8acbeff3149ca53f8baad
|
|
기획설문.doc
|
|
2021-03-02
09:01:00
|
|
Network Group / Network Group
|
|
hxxp://200[.]200[.]200[.]200/test/v[.]php
|
|
4
|
|
49a04c85555b35f998b1787b325526e6/
c9f23b6ee1ba97c753892e6c103521d6
|
|
Network Group / Naeil_영문시작
|
|
hxxp://eucie09111[.]myartsonline[.]com/0502/v[.]php
|
|
5
|
|
5b2355014f72dc2714dc5a5f04fe9519
|
|
확인 불가능
(설문조사 내용)
|
|
2021-01-20
06:14:00
|
|
Egg …
IoC
04a0505cc45d2dac4be9387768efcb7c
0821884168a644f3c27176a52763acc9
0a68d6a3d0aa9c5a3a4485d314ea8372
0d36f4f5a1f7bc7d89fbda02be7c2336
1269e2b00fd323a7748215124cb058cd
199674e87f437bdbd68884b155346d25
208a3b4565d3041d09448a23a80edf1c
36ad6b5775ac550a36f56467051d2c03
4886f89546c422f5e04c2da33090a201
49a04c85555b35f998b1787b325526e6
5973ba270e9b5ea57c138245ffc39552
5b2355014f72dc2714dc5a5f04fe9519
6a614ca002c5b3a4d7023faffc0546e1
86c462b8ceffbc10018df2c32e024b29
8ca84c206fe8436dcc92bf6c1f7cf168
95c92bcfc39ceafc1735f190a575c60c
9d3b4e82d2c839ffc2887946fb204615
9ee9dacd6703c74e959a70a18ebb3875
af3288ed7853865d562ccd1f48fa4a16
bce51419fae8acbeff3149ca53f8baad
c6437d685f4a489c867b4d2b68f07f1a
c9f23b6ee1ba97c753892e6c103521d6
d3a317dd167cfa77c976fa9c86c24982
d725efd437d26e01e3b64e722929c01e
d7b717134358bbeefc5796b5912369f0
d8e817abd5ad765bf7acec5d672cbb8d
dc5fa08c7e2bb959042f5572c91ada5e
dfbe17d9dfa3f3bb715e1d8348bd1f50
ec3f771c71a24c165697e26e136daa4a
http://200.200.200.200/test/v.php
http://alyssalove.getenjoyment.net/0423/v.php
http://beilksa.scienceontheweb.net/cookie/select/log/list.php
http://beilksa.scienceontheweb.net/cookie/select/log/tmp?q=6
http://connectter.atwebpages.com/2612/download.php
http://cwda.co.kr/theme/basic/skin/new/basic/update/Normal.dotm
http://cwda.co.kr/theme/basic/skin/new/basic/update/list.php
http://eucie09111.myartsonline.com/0502/v.php
http://fabre.myartsonline.com/ys/ha.txt
http://ftcpark59.getenjoyment.net/1703/v.php
http://hanlight.mygamesonline.org/2403/v.php
http://heritage2020.cafe24.com/plugin/kcpcert/bin/list.php?query=1
http://majar.medianewsonline.com/0812/1.php
http://manct.atwebpages.com/ck/uy.txt
http://miracle.designsoup.co.kr/user/views/resort/controller/css/update/list.php
http://pootball.medianewsonline.com/ro/ki.txt
http://quarez.atwebpages.com/ds/le.txt
http://quarez.atwebpages.com/ny/post.php
http://quarez.atwebpages.com/ny/ui.txt
http://rukagu.mypressonline.com/le/yj.txt
http://samsoding.homm7.gethompy.com/plugins/dropzone/min/css/list.php
http://waels.onlinewebshop.net/st/wa.txt
http://wbg0909.scienceontheweb.net/0412/download.php
http://www.inonix.co.kr/kor/page/product/_notes/list.php
http://www.inonix.co.kr/kor/page/product/_notes/tmp/?q=6
http://www.mechapia.com/_admin/nicerlnm/web/style/list.php
http://yanggucam.designsoup.co.kr/user/views/board/skin/secret/css/list.php
https://smyun0272.blogspot.com/2021/06/dootakim.html
https://worldinfocontact.club/111/bill/cow.php?op=1drop[.]bat&
https://worldinfocontact.club/111/mac3.php?na=
0821884168a644f3c27176a52763acc9
0a68d6a3d0aa9c5a3a4485d314ea8372
0d36f4f5a1f7bc7d89fbda02be7c2336
1269e2b00fd323a7748215124cb058cd
199674e87f437bdbd68884b155346d25
208a3b4565d3041d09448a23a80edf1c
36ad6b5775ac550a36f56467051d2c03
4886f89546c422f5e04c2da33090a201
49a04c85555b35f998b1787b325526e6
5973ba270e9b5ea57c138245ffc39552
5b2355014f72dc2714dc5a5f04fe9519
6a614ca002c5b3a4d7023faffc0546e1
86c462b8ceffbc10018df2c32e024b29
8ca84c206fe8436dcc92bf6c1f7cf168
95c92bcfc39ceafc1735f190a575c60c
9d3b4e82d2c839ffc2887946fb204615
9ee9dacd6703c74e959a70a18ebb3875
af3288ed7853865d562ccd1f48fa4a16
bce51419fae8acbeff3149ca53f8baad
c6437d685f4a489c867b4d2b68f07f1a
c9f23b6ee1ba97c753892e6c103521d6
d3a317dd167cfa77c976fa9c86c24982
d725efd437d26e01e3b64e722929c01e
d7b717134358bbeefc5796b5912369f0
d8e817abd5ad765bf7acec5d672cbb8d
dc5fa08c7e2bb959042f5572c91ada5e
dfbe17d9dfa3f3bb715e1d8348bd1f50
ec3f771c71a24c165697e26e136daa4a
http://200.200.200.200/test/v.php
http://alyssalove.getenjoyment.net/0423/v.php
http://beilksa.scienceontheweb.net/cookie/select/log/list.php
http://beilksa.scienceontheweb.net/cookie/select/log/tmp?q=6
http://connectter.atwebpages.com/2612/download.php
http://cwda.co.kr/theme/basic/skin/new/basic/update/Normal.dotm
http://cwda.co.kr/theme/basic/skin/new/basic/update/list.php
http://eucie09111.myartsonline.com/0502/v.php
http://fabre.myartsonline.com/ys/ha.txt
http://ftcpark59.getenjoyment.net/1703/v.php
http://hanlight.mygamesonline.org/2403/v.php
http://heritage2020.cafe24.com/plugin/kcpcert/bin/list.php?query=1
http://majar.medianewsonline.com/0812/1.php
http://manct.atwebpages.com/ck/uy.txt
http://miracle.designsoup.co.kr/user/views/resort/controller/css/update/list.php
http://pootball.medianewsonline.com/ro/ki.txt
http://quarez.atwebpages.com/ds/le.txt
http://quarez.atwebpages.com/ny/post.php
http://quarez.atwebpages.com/ny/ui.txt
http://rukagu.mypressonline.com/le/yj.txt
http://samsoding.homm7.gethompy.com/plugins/dropzone/min/css/list.php
http://waels.onlinewebshop.net/st/wa.txt
http://wbg0909.scienceontheweb.net/0412/download.php
http://www.inonix.co.kr/kor/page/product/_notes/list.php
http://www.inonix.co.kr/kor/page/product/_notes/tmp/?q=6
http://www.mechapia.com/_admin/nicerlnm/web/style/list.php
http://yanggucam.designsoup.co.kr/user/views/board/skin/secret/css/list.php
https://smyun0272.blogspot.com/2021/06/dootakim.html
https://worldinfocontact.club/111/bill/cow.php?op=1drop[.]bat&
https://worldinfocontact.club/111/mac3.php?na=