AutoIt을 사용해 악성코드를 제작하는 Kimsuky 그룹 (RftRAT, Amadey)
Contents
|개요|
초기 침투 방식
…. 2.1. 스피어 피싱 공격
…. 2.2. LNK 악성코드
원격 제어 악성코드
…. 3.1. XRat (Loader)
…. 3.2. Amadey
…. 3.3. 최신 공격 사례
…….. 3.3.1. AutoIt Amadey
…….. 3.3.2. RftRAT
감염 이후
…. 4.1. 키로거
…. 4.2. 인포스틸러
…. 4.3. 기타 유형들
결론
1. 개요
북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격이 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를 공격 중이며 조직의 내부 정보 및 기술 탈취를 목적으로 한다. [2]
Kimsuky 그룹은 최근까지도 초기 침투 경로로서 스피어 피싱 공격을 주로 사용하고 있다. 과거와 비교하여 최근 공격 사례들만의 특징으로는 한글이나 MS 오피스 문서 포맷의 악성코드 대신 LNK 포맷의 바로 가기 악성코드들이 사용되는 사례가 늘고 있다는 점이다. 공격자는 스피어 피싱 메일의 첨부 파일 및 다운로드 링크를 통해 압축 파일 다운로드를 유도하고 압축을 해제하면 정상 문서 파일과 악성 LNK …
초기 침투 방식
…. 2.1. 스피어 피싱 공격
…. 2.2. LNK 악성코드
원격 제어 악성코드
…. 3.1. XRat (Loader)
…. 3.2. Amadey
…. 3.3. 최신 공격 사례
…….. 3.3.1. AutoIt Amadey
…….. 3.3.2. RftRAT
감염 이후
…. 4.1. 키로거
…. 4.2. 인포스틸러
…. 4.3. 기타 유형들
결론
1. 개요
북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격이 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를 공격 중이며 조직의 내부 정보 및 기술 탈취를 목적으로 한다. [2]
Kimsuky 그룹은 최근까지도 초기 침투 경로로서 스피어 피싱 공격을 주로 사용하고 있다. 과거와 비교하여 최근 공격 사례들만의 특징으로는 한글이나 MS 오피스 문서 포맷의 악성코드 대신 LNK 포맷의 바로 가기 악성코드들이 사용되는 사례가 늘고 있다는 점이다. 공격자는 스피어 피싱 메일의 첨부 파일 및 다운로드 링크를 통해 압축 파일 다운로드를 유도하고 압축을 해제하면 정상 문서 파일과 악성 LNK …
IoC
068d395c60e32f01b5424e2a8591ba73
0786984ab46482637c2d483ffbaf66dc
093608a2d6eb098eb7ea917cc22e9998
0bf558adde774215bb221465a4edd2fe
0f5762be09db44b2f0ccf05822c8531a
0fc1c99fd0d6f5488ab77e296216c7c6
1003a440c710ddf7faa1a54919dd01d8
119063c82373598d00d17734dd280016
14a7f83d6215a4d4c426ad371e0810a2
152.89.247.57
172.93.201.248
187aa9b12c05cd1ff030044786903e7e
192.236.154.125
1ac0b0da11e413a21bec08713e1e7c59
1f63ce3677253636a273a88c5b26418d
209.127.37.40
23.236.181.108
272c29bf65680b1ac8ec7f518780ba92
32696d9e1e72affaf8bc707ab271200d
355817015c8510564c6ac89c976f2416
38182f1f0a1cf598295cfbbabd9c5bf4
39e755c08156123e4cabac6bf8d1fd3a
45.76.93.204
4b667f7ea5bdc9d872774f733fdf4d6a
4d4d485d3bfd3cbc97ed4b9a671f740f
4eddf54757ae168450882176243d2bd2
4fc726ab835ce559bada42e695b3d341
5c2809177bb95edc68f9a08a96420bb7
6f7cd8c0d9bfb0f97083e4431e4944c1
74d5dac64c0740d3ff5a9e3aca51ccdf
7b6471f4430c2d6907ce4d349f59e69f
7f582f0c5c9a14c736927d4dbb47c5fa
862a855557cc274ab86e226e45338cff
91.202.5.80
94aef716b23e8fa96808f1096724f77f
a7c9b4d70e4fad86598de37d7bf1fe96
aa2cf925bae24c5cad2b1e1ad745b881
aaa42b1209ed54bfcbd2493fe073d59b
b1337eb53b21594ac5dbd76138054ffb
b67e6e4c16e0309cfc2511414915df15
baa058003bf79ba82ac1b744ed8d58cb
bac7f5eefe6a67e9555e93b0d950db59
c52410ed6787c39db87c4158e73089d4
c55da826e50e2615903607e61968778f
c5a1305aba22c8fedd6624753849905b
c87094e261860e3a1f70b0681e1bc8c5
cf3440fa165e3f78d2a2252a6924f702
d070cf19b66da341f64c01f8195afaed
d541aa6bae0f8c9bd7e7b6193b52e8f2
d820ddb3026a5960b2c6f39780480d28
e22336eaf1980d2be5feed61b2dbc839
e665a985f71567f24a293ea430aad67d
e860dac57933f63be9a374fb78bca209
e96ca2aa7c6951802e4b17649cc5b581
f3caa0f922600b4423ebcb16d7ea2dc6
f5ea621f482f9ac127e8f7b784733514
f76cde928a6eda27793ade673bcd6620
f9c4d236b893c0d72321a9210359f530
http://152.89.247.57:52390
http://172.93.201.248:52390
http://172.93.201.248:8083
http://192.236.154.125:50108
http://209.127.37.40:52390
http://23.236.181.108:52390
http://45.76.93.204:56001
http://91.202.5.80:52030
http://brhosting.net/index.php
https://prohomepage.net/index.php
https://splitbusiness.com/index.php
https://techgolfs.com/index.php
https://theservicellc.com/index.php
https://topspace.org/index.php
0786984ab46482637c2d483ffbaf66dc
093608a2d6eb098eb7ea917cc22e9998
0bf558adde774215bb221465a4edd2fe
0f5762be09db44b2f0ccf05822c8531a
0fc1c99fd0d6f5488ab77e296216c7c6
1003a440c710ddf7faa1a54919dd01d8
119063c82373598d00d17734dd280016
14a7f83d6215a4d4c426ad371e0810a2
152.89.247.57
172.93.201.248
187aa9b12c05cd1ff030044786903e7e
192.236.154.125
1ac0b0da11e413a21bec08713e1e7c59
1f63ce3677253636a273a88c5b26418d
209.127.37.40
23.236.181.108
272c29bf65680b1ac8ec7f518780ba92
32696d9e1e72affaf8bc707ab271200d
355817015c8510564c6ac89c976f2416
38182f1f0a1cf598295cfbbabd9c5bf4
39e755c08156123e4cabac6bf8d1fd3a
45.76.93.204
4b667f7ea5bdc9d872774f733fdf4d6a
4d4d485d3bfd3cbc97ed4b9a671f740f
4eddf54757ae168450882176243d2bd2
4fc726ab835ce559bada42e695b3d341
5c2809177bb95edc68f9a08a96420bb7
6f7cd8c0d9bfb0f97083e4431e4944c1
74d5dac64c0740d3ff5a9e3aca51ccdf
7b6471f4430c2d6907ce4d349f59e69f
7f582f0c5c9a14c736927d4dbb47c5fa
862a855557cc274ab86e226e45338cff
91.202.5.80
94aef716b23e8fa96808f1096724f77f
a7c9b4d70e4fad86598de37d7bf1fe96
aa2cf925bae24c5cad2b1e1ad745b881
aaa42b1209ed54bfcbd2493fe073d59b
b1337eb53b21594ac5dbd76138054ffb
b67e6e4c16e0309cfc2511414915df15
baa058003bf79ba82ac1b744ed8d58cb
bac7f5eefe6a67e9555e93b0d950db59
c52410ed6787c39db87c4158e73089d4
c55da826e50e2615903607e61968778f
c5a1305aba22c8fedd6624753849905b
c87094e261860e3a1f70b0681e1bc8c5
cf3440fa165e3f78d2a2252a6924f702
d070cf19b66da341f64c01f8195afaed
d541aa6bae0f8c9bd7e7b6193b52e8f2
d820ddb3026a5960b2c6f39780480d28
e22336eaf1980d2be5feed61b2dbc839
e665a985f71567f24a293ea430aad67d
e860dac57933f63be9a374fb78bca209
e96ca2aa7c6951802e4b17649cc5b581
f3caa0f922600b4423ebcb16d7ea2dc6
f5ea621f482f9ac127e8f7b784733514
f76cde928a6eda27793ade673bcd6620
f9c4d236b893c0d72321a9210359f530
http://152.89.247.57:52390
http://172.93.201.248:52390
http://172.93.201.248:8083
http://192.236.154.125:50108
http://209.127.37.40:52390
http://23.236.181.108:52390
http://45.76.93.204:56001
http://91.202.5.80:52030
http://brhosting.net/index.php
https://prohomepage.net/index.php
https://splitbusiness.com/index.php
https://techgolfs.com/index.php
https://theservicellc.com/index.php
https://topspace.org/index.php