Detailed Analysis of AlphaSeed, a new version of Kimsuky’s AppleSeed written in Golang
Contents
Detailed Analysis of AlphaSeed, a new version of Kimsuky’s AppleSeed written in Golang
Author: BLKSMTH | S2W TALON
Last Modified: May 17, 2023
Executive Summary
- 2023년 5월 경, S2W의 위협 연구 및 인텔리전스 센터 Talon은 Kimsuky 그룹의 새로운 악성코드로 추정되는 샘플을 VirusTotal에서 헌팅하여 분석을 진행함
- 헌팅된 악성코드는 네이버 로그인에 필요한 Cookie 값이 악성코드에 삽입되어있으며, Chrome Devtools 프로토콜을 사용하도록 서포팅하는 클라이언트 프로그램인 ChromeDP로 로그인을 수행
- S2W Talon은 해당 악성코드 내 “E:/Go_Project/src/alpha/naver_crawl_spy/”라는 경로명이 포함되어 있다는 점에서 이 악성코드를 “AlphaSeed”으로 명명
- 우리는 AlphaSeed가 Kimsuky 그룹이 기존에 사용하던 AppleSeed 악성코드의 Go 언어 버전으로 추정하고 있으며, 최근 Kimsuky 그룹이 Go 언어로 악성코드를 구현하고 있는 정황도 확인됨
- 과거 Kimsuky 그룹은 아이디와 비밀번호를 악성코드에 삽입하여 메일 서비스로 명령을 전달하였는데, 아이디와 비밀번호 대신 쿠키값으로 로그인을 구현하였으며 이후 정보탈취 및 명령 수행 기능을 수행함
- AppleSeed 악성코드와 파일 암호화 방식, 메일 전송 쓰레드, 활용하는 메일함 이름 등 유사점이 존재하고, Kimsuky 그룹이 과거 NavRAT 이라는 악성코드로 네이버 메일을 활용한 명령전달을 수행한 이력이 존재한다는 점에서 …
Author: BLKSMTH | S2W TALON
Last Modified: May 17, 2023
Executive Summary
- 2023년 5월 경, S2W의 위협 연구 및 인텔리전스 센터 Talon은 Kimsuky 그룹의 새로운 악성코드로 추정되는 샘플을 VirusTotal에서 헌팅하여 분석을 진행함
- 헌팅된 악성코드는 네이버 로그인에 필요한 Cookie 값이 악성코드에 삽입되어있으며, Chrome Devtools 프로토콜을 사용하도록 서포팅하는 클라이언트 프로그램인 ChromeDP로 로그인을 수행
- S2W Talon은 해당 악성코드 내 “E:/Go_Project/src/alpha/naver_crawl_spy/”라는 경로명이 포함되어 있다는 점에서 이 악성코드를 “AlphaSeed”으로 명명
- 우리는 AlphaSeed가 Kimsuky 그룹이 기존에 사용하던 AppleSeed 악성코드의 Go 언어 버전으로 추정하고 있으며, 최근 Kimsuky 그룹이 Go 언어로 악성코드를 구현하고 있는 정황도 확인됨
- 과거 Kimsuky 그룹은 아이디와 비밀번호를 악성코드에 삽입하여 메일 서비스로 명령을 전달하였는데, 아이디와 비밀번호 대신 쿠키값으로 로그인을 구현하였으며 이후 정보탈취 및 명령 수행 기능을 수행함
- AppleSeed 악성코드와 파일 암호화 방식, 메일 전송 쓰레드, 활용하는 메일함 이름 등 유사점이 존재하고, Kimsuky 그룹이 과거 NavRAT 이라는 악성코드로 네이버 메일을 활용한 명령전달을 수행한 이력이 존재한다는 점에서 …
IoC
37ea9dba7ab6465f4d82c1af38a27339db9bf81ded74299fd6e5075e126b732a
57B248D18B9EE4106A5922A25EB03F7A9B637D42
5aa1cc14a82db34269de7778536c893ae177345172f70478b4093fa0451744c8
60308FA05380F183BF76F2ACFBE8E145
98916e83b272f5ead73412a5765e1cf1225873c7b0cf0b5e94a341e65451d652
F28D5CCDC79B0FCC02BE021435252F466A0C41786D9840E43A44EBDF821D3E95
eb55211ca3b233555397cecf32ac0a86ec85983a1fd1f50bb04d727dddf6b1ec
f28d5ccdc79b0fcc02be021435252f466a0c41786d9840e43a44ebdf821d3e95
f78b3c0ccaa02b4b159b36557f6b99a9800bccdb2bd86f655f642a2097362026
57B248D18B9EE4106A5922A25EB03F7A9B637D42
5aa1cc14a82db34269de7778536c893ae177345172f70478b4093fa0451744c8
60308FA05380F183BF76F2ACFBE8E145
98916e83b272f5ead73412a5765e1cf1225873c7b0cf0b5e94a341e65451d652
F28D5CCDC79B0FCC02BE021435252F466A0C41786D9840E43A44EBDF821D3E95
eb55211ca3b233555397cecf32ac0a86ec85983a1fd1f50bb04d727dddf6b1ec
f28d5ccdc79b0fcc02be021435252f466a0c41786d9840e43a44ebdf821d3e95
f78b3c0ccaa02b4b159b36557f6b99a9800bccdb2bd86f655f642a2097362026