Kimsuky APT 그룹의 Storm 작전과 BabyShark Family 연관 분석
Contents
지니언스 시큐리티 센터에서 위협분석 보고서를 발간했습니다. 이 보고서는 최신 사이버 위협과 취약점을 조사하고, 신속한 대응과 예방을 위한 정보를 제공합니다. (전문보기 아래 링크)
주요 요약 (Executive Summary)
- 외교부 평화체제과, 통일부 인도지원과 등 소속 공직자 사칭 비공개 면담 빙자해 접근
- 악명높은 김수키(Kimsuky) APT 그룹의 정찰 및 침투용 BabyShark 공격 툴킷 발견
- 북한문제 전문가를 포함해 외교·통일분야 특정 인물 표적삼아 사이버 첩보행위 진행
- 파일리스(Fileless) 등 은닉형 위협의 효과적인 대응을 위해 Genian EDR 활용 가능
1.개요 (Overview)
1.1. 배경 (Background)
○ 지니언스 시큐리티 센터(이하 GSC)는 2023년 상반기부터 9월 전후까지 일명 김수키(Kimsuky) 그룹1의 사이버 정찰·침투 활동이 국내서 활발히 전개 됨을 포착해 조사를 진행했습니다. 이들 그룹의 위협 활동은 갑자기 증가했다거나 감소했다는 표현보다, 평소에 지속되고 있다는 표현이 적절해 보입니다. 이미 일상화된 실존 위협으로 지적해도 전혀 과언이 아닐 정도로 우리사회에 가깝게 다가와 있는 사실을 부정하기 어렵습니다.
○ GSC는 본 위협 인텔리전스 보고서를 통해 국내서 발생 중인 지능형지속위협(APT) 동향을 공유하고, TTPs(Tactics, Techniques and Procedures)2 관점의 분석 내용을 제공하고자 합니다. 이는 국내서 발생 중인 사이버 안보 …
주요 요약 (Executive Summary)
- 외교부 평화체제과, 통일부 인도지원과 등 소속 공직자 사칭 비공개 면담 빙자해 접근
- 악명높은 김수키(Kimsuky) APT 그룹의 정찰 및 침투용 BabyShark 공격 툴킷 발견
- 북한문제 전문가를 포함해 외교·통일분야 특정 인물 표적삼아 사이버 첩보행위 진행
- 파일리스(Fileless) 등 은닉형 위협의 효과적인 대응을 위해 Genian EDR 활용 가능
1.개요 (Overview)
1.1. 배경 (Background)
○ 지니언스 시큐리티 센터(이하 GSC)는 2023년 상반기부터 9월 전후까지 일명 김수키(Kimsuky) 그룹1의 사이버 정찰·침투 활동이 국내서 활발히 전개 됨을 포착해 조사를 진행했습니다. 이들 그룹의 위협 활동은 갑자기 증가했다거나 감소했다는 표현보다, 평소에 지속되고 있다는 표현이 적절해 보입니다. 이미 일상화된 실존 위협으로 지적해도 전혀 과언이 아닐 정도로 우리사회에 가깝게 다가와 있는 사실을 부정하기 어렵습니다.
○ GSC는 본 위협 인텔리전스 보고서를 통해 국내서 발생 중인 지능형지속위협(APT) 동향을 공유하고, TTPs(Tactics, Techniques and Procedures)2 관점의 분석 내용을 제공하고자 합니다. 이는 국내서 발생 중인 사이버 안보 …
IoC
00ff9f067c3adffe04e89b0a654865d2
04a0505cc45d2dac4be9387768efcb7c
119e6b7626e99b3569019f0c70885658
1287f69b59f67aab247487cdd12dfef7
12ea0df10c1c0d23dc4141806dcdbb72
1fd0abcccbc7d4bfdc1a11d4afa97e6d
55a46a2415d18093abcd59a0bf33d0a9
f8d8650a8501533075126977f8404005
http://ba-reum.co.kr/adm/
http://ba-reum.co.kr/adm/stat
http://beilksa.scienceontheweb.net/c
http://beilksa.scienceontheweb.net/cookie/select/log/
http://bipaf.org/bbs/zipcode/auth/a4b5e82/586f0a/list.php?query=1
http://bipaf.org/bbs/zipcode/style/css/list.php?query=
http://bipaf.org/bbs/zipcode/style/ht
http://bipaf.org/bbs/zipcode/style/js/list.php?query=1
http://cainnick002.000webhostapp.com/ni
http://complletely.mypressonline.com/file/upload/list.php?qu
http://complletely.mywebcommunity.org/file/upload/list.php?query=1
http://comr.scienceontheweb.net/your/new/list.php?q
http://dropped.atwebpages.com/dashbord/loggo/list.php?query=1
http://file.com-port.space/indeed/show.php?quer
http://gooogie.mygamesonline.org/file/uploa
http://gooogie.mygamesonline.org/file/upload/list.php?query=1
http://heritage2020.cafe24.com/skin/board/gallery/log/list.php?query=1
http://infotechkorea.com/gnuboard4/adm/cmg/upload/list.php?query=1
http://inonix.co.kr/kor/board/widgets/mcontent/skins/tmp?q=6
http://isujeil.co.kr/pg/adm/img/upload0/list
http://isujeil.co.kr/pg/adm/img/upload1/list
http://jooshineng.com/gnuboard4/a
http://koreawus.com/gnuboard4/ad
http://mechapia.com/_admin/nicerlnm/web/style/css/
http://mpevalr.ria.m
http://mpevalr.ria.monster/SmtInfo/demo.txt||AlreadyRunning19122345|
http://ne.com/sign/list.ph
http://one.bandi.tok
http://one.bandi.tokyo/cl
http://orblog.mireene.com/mobile/skin/visit/basic/log/eweerew.php?er=1||N/A|
http://oxusgreen.co.kr/menuimg/_not
http://point.com-def.asia/i
http://point.com-def.asia/indeed/s
http://samsoding.homm7.gethompy.com/plugins/dropzone/min/css/list.php?query=1
http://stommy.mywebcommunity.org/community/support/list.php?qu
http://up.co.kr/user/views/board/skin/secret/cs
http://uppgrede.scienceontheweb.net/file/upload/list.php?query=1
http://viewfile.ria.monster/rfa/demo.txt
http://viewfile.ria.monster/rfa/demo.txt||page_1.html||"%USERPROFILE%\Links\Document.dat"
http://yanggucam.designsoup.co.kr/user/views/board/skin/secret/css/list.php?query=1
04a0505cc45d2dac4be9387768efcb7c
119e6b7626e99b3569019f0c70885658
1287f69b59f67aab247487cdd12dfef7
12ea0df10c1c0d23dc4141806dcdbb72
1fd0abcccbc7d4bfdc1a11d4afa97e6d
55a46a2415d18093abcd59a0bf33d0a9
f8d8650a8501533075126977f8404005
http://ba-reum.co.kr/adm/
http://ba-reum.co.kr/adm/stat
http://beilksa.scienceontheweb.net/c
http://beilksa.scienceontheweb.net/cookie/select/log/
http://bipaf.org/bbs/zipcode/auth/a4b5e82/586f0a/list.php?query=1
http://bipaf.org/bbs/zipcode/style/css/list.php?query=
http://bipaf.org/bbs/zipcode/style/ht
http://bipaf.org/bbs/zipcode/style/js/list.php?query=1
http://cainnick002.000webhostapp.com/ni
http://complletely.mypressonline.com/file/upload/list.php?qu
http://complletely.mywebcommunity.org/file/upload/list.php?query=1
http://comr.scienceontheweb.net/your/new/list.php?q
http://dropped.atwebpages.com/dashbord/loggo/list.php?query=1
http://file.com-port.space/indeed/show.php?quer
http://gooogie.mygamesonline.org/file/uploa
http://gooogie.mygamesonline.org/file/upload/list.php?query=1
http://heritage2020.cafe24.com/skin/board/gallery/log/list.php?query=1
http://infotechkorea.com/gnuboard4/adm/cmg/upload/list.php?query=1
http://inonix.co.kr/kor/board/widgets/mcontent/skins/tmp?q=6
http://isujeil.co.kr/pg/adm/img/upload0/list
http://isujeil.co.kr/pg/adm/img/upload1/list
http://jooshineng.com/gnuboard4/a
http://koreawus.com/gnuboard4/ad
http://mechapia.com/_admin/nicerlnm/web/style/css/
http://mpevalr.ria.m
http://mpevalr.ria.monster/SmtInfo/demo.txt||AlreadyRunning19122345|
http://ne.com/sign/list.ph
http://one.bandi.tok
http://one.bandi.tokyo/cl
http://orblog.mireene.com/mobile/skin/visit/basic/log/eweerew.php?er=1||N/A|
http://oxusgreen.co.kr/menuimg/_not
http://point.com-def.asia/i
http://point.com-def.asia/indeed/s
http://samsoding.homm7.gethompy.com/plugins/dropzone/min/css/list.php?query=1
http://stommy.mywebcommunity.org/community/support/list.php?qu
http://up.co.kr/user/views/board/skin/secret/cs
http://uppgrede.scienceontheweb.net/file/upload/list.php?query=1
http://viewfile.ria.monster/rfa/demo.txt
http://viewfile.ria.monster/rfa/demo.txt||page_1.html||"%USERPROFILE%\Links\Document.dat"
http://yanggucam.designsoup.co.kr/user/views/board/skin/secret/css/list.php?query=1