Kimsuky2021年上半年窃密活动总结
Contents
CoreSec360
360威胁情报中心是全球领先的威胁情报共享、分析和预警平台,依托360安全大脑百亿级样本,万亿级防护日志等海量安全数据,整合360漏洞挖掘、恶意代码分析、威胁情报追踪等团队的安全能力,产出高质量的安全威胁情报,驱动安全的防御、检测和响应。
Kimsuky 是位于朝鲜的APT组织,又名(Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom)等,最早由kaspersky在2013年披露,该组织长期针对于韩国的智囊团、政府外交、新闻组织、教育学术等机构进行攻击,在过去几年里,他们将攻击目标扩大到包括美国、俄罗斯和欧洲在内的国家。主要目的为窃取情报、间谍活动等。该组织十分活跃,常用的攻击载荷为带有漏洞的hwp文件,恶意宏文件,释放载荷的PE文件等。
纵观2021上半年Kimsuky的活动,攻击目标仍以韩国的政府外交、国防军工、大学教授、智囊团为主。相关攻击活动仍以鱼叉邮件投递诱饵文档为主,同时也在积极利用社会热点事件为诱饵进行攻击。
2021上半年Kimsuky使用次数最多的诱饵文档最终目的多数以收集信息为主,我们根据攻击流程将诱饵文档大致分为五类:
类别
方式
时间
第一类
直接窃取上传:
直接在VBA代码中收集基本信息上传
2020年11月-2020年3月:
问卷调查类文档为主
第二类
执行powershell脚本窃取上传:
VBA代码使用 简单字符串作混淆,去混淆后使用powershell.exe 执行后续脚本,功能为收集基本计算机信息上传
2020年6月-今:
社会时事热点为主
第三类
通过xml窃取信息:
去混淆的数据写入到本机模板目录下的xml文件执行,执行的内容为向远程地址请求数据执行
2020年12月-今
今年使用最多:
拜登政府政策、党军事题材为主
第四类
通过Google博客窃取信息:
释放 desktop.ini 文件,链接到Google博客下载恶意脚本收集信息上传
2021年6月-今,使用的新的手法:
使用Google博客存放恶意脚本代码,以会议类、问卷类诱饵为主
第五类
通过Onedrive网盘窃取信息:
释放version.dll解密脚本后,从Onedrive网盘获取后续载荷,后续载荷最终执行窃取信息的操作
2020年12月-今:
今年使用最少:
测试文档为主
第一类
参数
信息
w=
硬编码的 "chosh3"、"caerang"、"sakim“、"ksskorea”等
x64=
"C:\\Program Files"目录信息
x86=
"C:\\Program Files (x86)\\"目录信息
r=
文件历史记录信息
msv=
Office 版本信息
un=
用户名
os=
系统版本信息
sv=
系统版本号信息
图:韩国退休外交官、研究员
这一阶段当受害者启用宏后,VBA代码将base编码的数据保存到 AppData\Roaming目录下的 desktop.ini 执行,同时在启动目录创建了名为 iexplore.exe.lnk的快捷方式,目标指向 \Microsoft\desktop.ini,以实现持久化。
参数
信息
r
最近访问记录
un
用户名
os
系统版本
sv
系统版本号信息
dnv
net framework 版本信息
msv
office版本信息
dll
桌面目录信息
tll
任务栏快捷方式
article_name
name
方向
身份
donavyk
金东烨
[email protected] /
[email protected]
朝鲜军事、核问题
庆南大学远东研究所教授/朝鲜研究会理事
dootakim
金妍哲
[email protected]
朝鲜局势、军事、核问题等
韩国研究院院长/仁济大学统一学部教授
今年我们还发布了 "Kimsuky组织网络攻击活动追溯分析报告"披露了一批Kimsuky网络攻击武器与测试样本,5月份我们又发现了一起相关的攻击测试活动。
此次攻击从一个诱饵文档开始,当受害者启用文档的宏后,后续载荷将通过OneDrive云盘和被黑网下发恶意荷载,并动态执行控制命令和恶意VBS脚本收集用户信息。
version.dll:
6C1E.vbs:
mac11_ver.txt:
& timeout 5 & \"%appdata%\\aqz.bat\"" 下载 下一阶段的载荷aqz.bat并执行。
aqz.bat:
这次的攻击测试活动和我们上次报告中提到的流程区别并不大,可以看出Kimsuky的攻击非常喜欢第三方云盘和和被黑网站作为攻击基础设施,并且善于使用各种脚本如vbs、bat等组成的攻击链。
今年三月份,我们捕获到了一批Gold Dragon活动的样本,样本伪装成韩办公软件Hancom Office 组件hancon.dll。由于样本被批量上传至平台,并有很多不同的加壳版本,我们猜测这批样本可能为攻击者测试使用,经过我们对hancom.dll 的溯源关联,我们又关联到了较新的一批hancom.dll组件。
攻击仍从一个文档开始,当受害者打开诱饵文档并启用宏后,vba代码将从远程链接下载解压并执行第一阶段的loader,loader下载释放hancom.dll后调用其导出函数执行,随后收集信息至PI_000.dat、PI_001.dat,然后从自身解密数据,创建傀儡进程svchost.exe注入执行,这一步将收集的键盘记录信息并将收集的信息进行加密,随后再次从自身解密数据,注入到傀儡进程iexplorer.exe执行,这一步将登录被盗的daum邮箱,通过文件映射,将加密的数据通过邮件的方式发送给攻击者。
Kimsuky 作为朝鲜 APT 组织之一,攻击活动十分频繁,擅长使用社会热点事件作为诱饵,攻击目标主要针对韩国的政府外交、国防统一、企业大学等。
一类诱饵:
d7b717134358bbeefc5796b5912369f0
6a614ca002c5b3a4d7023faffc0546e1
bce51419fae8acbeff3149ca53f8baad
49a04c85555b35f998b1787b325526e6
c9f23b6ee1ba97c753892e6c103521d6
5b2355014f72dc2714dc5a5f04fe9519
8ca84c206fe8436dcc92bf6c1f7cf168
d725efd437d26e01e3b64e722929c01e
0d36f4f5a1f7bc7d89fbda02be7c2336
86c462b8ceffbc10018df2c32e024b29
208a3b4565d3041d09448a23a80edf1c
http://connectter[.]atwebpages[.]com/2612/download[.]php?
http://majar[.]medianewsonline[.]com/0812/1[.]php?
http://majar[.]medianewsonline[.]com/0812/1[.]php?
http://eucie09111[.]myartsonline[.]com/0502/v[.]php?
http://hanlight[.]mygamesonline[.]org/2403/v[.]php?
http://ftcpark59[.]getenjoyment[.]net/1703/v[.]php?
二类诱饵:
dfbe17d9dfa3f3bb715e1d8348bd1f50
dc5fa08c7e2bb959042f5572c91ada5e
1269e2b00fd323a7748215124cb058cd
9d3b4e82d2c839ffc2887946fb204615
5973ba270e9b5ea57c138245ffc39552
af3288ed7853865d562ccd1f48fa4a16
199674e87f437bdbd68884b155346d25
http://manct[.]atwebpages[.]com/ck/uy[.]txt
http://fabre[.]myartsonline[.]com/ys/ha[.]txt
http://rukagu[.]mypressonline[.]com/le/yj[.]txt
http://quarez[.]atwebpages[.]com/ny/ui[.]txt
http://quarez[.]atwebpages[.]com/ny/post[.]php
http://quarez[.]atwebpages[.]com/ds/le[.]txt
http://waels[.]onlinewebshop[.]net/st/wa[.]txt
http://pootball[.]medianewsonline[.]com/ro/ki[.]txt
三类诱饵:
04a0505cc45d2dac4be9387768efcb7c
d3a317dd167cfa77c976fa9c86c24982
d8e817abd5ad765bf7acec5d672cbb8d
4886f89546c422f5e04c2da33090a201
0a68d6a3d0aa9c5a3a4485d314ea8372
c6437d685f4a489c867b4d2b68f07f1a
36ad6b5775ac550a36f56467051d2c03
ec3f771c71a24c165697e26e136daa4a
9ee9dacd6703c74e959a70a18ebb3875
1670bb091dba017606ea5e763072d45f
21b72a6ed58db07a7f7c16372c3422e2
41aba3f7a154fb209beba0e36e6ef3ab
68a1cc84de7d5802b7251786a8a5da0c
a9b6cf8d8d0a67da4eea269dab16fe99
fe4dd316363d3631c83c2995dd3775f4
http://yanggucam[.]designsoup[.]co[.]kr/user/views/board/skin/secret/css/list[.]php?query=1
http://samsoding[.]homm7[.]gethompy[.]com/plugins/dropzone/min/css/list[.]php?query=1
http://www[.]mechapia[.]com/_admin/nicerlnm/web/style/list[.]php?query=1
http://miracle[.]designsoup[.]co[.]kr/user/views/resort/controller/css/update/list[.]php?query=1
http://cwda[.]co[.]kr/theme/basic/skin/new/basic/update/list[.]php?query=1
http://cwda[.]co[.]kr/theme/basic/skin/new/basic/update/Normal[.]dotm?q=6
http://heritage2020[.]cafe24[.]com/plugin/kcpcert/bin/list[.]php?query=1
http://www[.]inonix[.]co[.]kr/kor/page/product/_notes/list[.]php?query=1
http://www[.]inonix[.]co[.]kr/kor/page/product/_notes/tmp/?q=6
http://beilksa[.]scienceontheweb[.]net/cookie/select/log/list[.]php?query=1
http://beilksa[.]scienceontheweb[.]net/cookie/select/log/tmp?q=6
http://www[.]inonix[.]co[.]kr/kor/board/widgets/mcontent/skins/tmp?q=6
http://koreacit[.]co[.]kr/skin/new/basic/update/temp?q=6
https://reform-ouen[.]com/wp-includes/css/dist/nux/dotm/dwn[.]php?id=0119
http://www[.]anpcb[.]co[.]kr/plugin/sns/facebook/src/update/normal[.]dotm?q=6
http://beilksa[.]scienceontheweb[.]net/cookie/select/log/tmp?q=6
四类诱饵:
0821884168a644f3c27176a52763acc9
95c92bcfc39ceafc1735f190a575c60c
http://wbg0909[.]scienceontheweb[.]net/0412/download[.]php?
https://smyun0272[.]blogspot[.]com/2021/06/dootakim[.]html
http://alyssalove[.]getenjoyment[.]net/0423/v[.]php?
五类诱饵:新的诱饵文档测试活动:
e3e40b3eaefeb0c63dd449087a8988ef
FE3AD944D07B66C83DC433C39FC054F4
D79C92CC5AB70B61B2E174256577EA3A
9E0B68D23D36A6D276BA204BD8377120
12047FD5EF345CE53C92324357BDFFBE
27EE7CF37FFFFF7809E806F2462AEB00
FA935505E2A9A7DE6380AB9447D07D2C
https://1ive[.]me/ww/mac/0526_sim/d[.]php?na=version[.]gif
https://onedrive[.]live[.]com/?authkey=%21APtP1%2DAyXU4q3Gg&cid=EA63197CF6E2BF62&id=EA63197CF6E2BF62%21171&parId=root&o=OneUp
https://worldinfocontact[.]club/111/mac3[.]php?na="username"
https://worldinfocontact[.]club/111/bill/cow[.]php?op=1drop[.]bat
https://worldinfocontact[.]club/111/bill/expres[.]php?op=2
http://nuclearpolicy101[.]org/wp-admin/includes/0421/d[.]php?na=dot[.]gif
http://nuclearpolicy101[.]org/wp-admin/includes/0421/d[.]php?na=vbtmp
hancom
15ec5c7125e6c74f740d6fc3376c130d
3ecc65085a91044a119abce4f0c0d4de
ec19cd77170b6ac8772c5799fdd88852
11ac8609d64e5a5ade83eff92e4f1314
1d30dfa5d8f21d1465409b207115ded6
37e4865de72c3169d591e16ef8823676
e69294040dab044805c9d7c47fef4844
cf5815a1f635dca148ccffeb074b64d5
c9dae2b42f0b28631dc314a74fa2177f
0629fd238259d7df7aa22ca82ac6b93e
425f291cbaee9b44214057642db271a5
0e998937644007904f27a1eaffe32df5
7a67b8c387f24b782e46601634165681
6ec77913e6a359ee4e62909e28c08f1d
2399df3a222032c188a22df52a49384a
d73239230625afd2d9fa6cce1c6c022c
4a139f6888790f059ff5e19056ca5664
71e480edcb51a02b8460ccc9b2dfa272(doc)
72d43ff8f9ee0819e96ed7fd7d9a551a(wieb.dat)
7f8a4e0dca2e18121af505d9198d81d1(cvwiq.zip)
523b3401b0fb0e8aec9be70f57686840(hancom_vmp_zip)
4a139f6888790f059ff5e19056ca5664(hancom_vmp)
http://kr2959[.]atwebpages[.]com/view.php?id=2
http://kr2959[.]atwebpages[.]com/view[.]php?id=21504
klsa[.]onlinewebshop.net
攻击者邮箱:
[email protected]
可能为被盗邮箱/ID:
nk_biz_forum
[email protected]
[email protected]
[email protected]
微信扫一扫
关注该公众号
360威胁情报中心是全球领先的威胁情报共享、分析和预警平台,依托360安全大脑百亿级样本,万亿级防护日志等海量安全数据,整合360漏洞挖掘、恶意代码分析、威胁情报追踪等团队的安全能力,产出高质量的安全威胁情报,驱动安全的防御、检测和响应。
Kimsuky 是位于朝鲜的APT组织,又名(Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom)等,最早由kaspersky在2013年披露,该组织长期针对于韩国的智囊团、政府外交、新闻组织、教育学术等机构进行攻击,在过去几年里,他们将攻击目标扩大到包括美国、俄罗斯和欧洲在内的国家。主要目的为窃取情报、间谍活动等。该组织十分活跃,常用的攻击载荷为带有漏洞的hwp文件,恶意宏文件,释放载荷的PE文件等。
纵观2021上半年Kimsuky的活动,攻击目标仍以韩国的政府外交、国防军工、大学教授、智囊团为主。相关攻击活动仍以鱼叉邮件投递诱饵文档为主,同时也在积极利用社会热点事件为诱饵进行攻击。
2021上半年Kimsuky使用次数最多的诱饵文档最终目的多数以收集信息为主,我们根据攻击流程将诱饵文档大致分为五类:
类别
方式
时间
第一类
直接窃取上传:
直接在VBA代码中收集基本信息上传
2020年11月-2020年3月:
问卷调查类文档为主
第二类
执行powershell脚本窃取上传:
VBA代码使用 简单字符串作混淆,去混淆后使用powershell.exe 执行后续脚本,功能为收集基本计算机信息上传
2020年6月-今:
社会时事热点为主
第三类
通过xml窃取信息:
去混淆的数据写入到本机模板目录下的xml文件执行,执行的内容为向远程地址请求数据执行
2020年12月-今
今年使用最多:
拜登政府政策、党军事题材为主
第四类
通过Google博客窃取信息:
释放 desktop.ini 文件,链接到Google博客下载恶意脚本收集信息上传
2021年6月-今,使用的新的手法:
使用Google博客存放恶意脚本代码,以会议类、问卷类诱饵为主
第五类
通过Onedrive网盘窃取信息:
释放version.dll解密脚本后,从Onedrive网盘获取后续载荷,后续载荷最终执行窃取信息的操作
2020年12月-今:
今年使用最少:
测试文档为主
第一类
参数
信息
w=
硬编码的 "chosh3"、"caerang"、"sakim“、"ksskorea”等
x64=
"C:\\Program Files"目录信息
x86=
"C:\\Program Files (x86)\\"目录信息
r=
文件历史记录信息
msv=
Office 版本信息
un=
用户名
os=
系统版本信息
sv=
系统版本号信息
图:韩国退休外交官、研究员
这一阶段当受害者启用宏后,VBA代码将base编码的数据保存到 AppData\Roaming目录下的 desktop.ini 执行,同时在启动目录创建了名为 iexplore.exe.lnk的快捷方式,目标指向 \Microsoft\desktop.ini,以实现持久化。
参数
信息
r
最近访问记录
un
用户名
os
系统版本
sv
系统版本号信息
dnv
net framework 版本信息
msv
office版本信息
dll
桌面目录信息
tll
任务栏快捷方式
article_name
name
方向
身份
donavyk
金东烨
[email protected] /
[email protected]
朝鲜军事、核问题
庆南大学远东研究所教授/朝鲜研究会理事
dootakim
金妍哲
[email protected]
朝鲜局势、军事、核问题等
韩国研究院院长/仁济大学统一学部教授
今年我们还发布了 "Kimsuky组织网络攻击活动追溯分析报告"披露了一批Kimsuky网络攻击武器与测试样本,5月份我们又发现了一起相关的攻击测试活动。
此次攻击从一个诱饵文档开始,当受害者启用文档的宏后,后续载荷将通过OneDrive云盘和被黑网下发恶意荷载,并动态执行控制命令和恶意VBS脚本收集用户信息。
version.dll:
6C1E.vbs:
mac11_ver.txt:
& timeout 5 & \"%appdata%\\aqz.bat\"" 下载 下一阶段的载荷aqz.bat并执行。
aqz.bat:
这次的攻击测试活动和我们上次报告中提到的流程区别并不大,可以看出Kimsuky的攻击非常喜欢第三方云盘和和被黑网站作为攻击基础设施,并且善于使用各种脚本如vbs、bat等组成的攻击链。
今年三月份,我们捕获到了一批Gold Dragon活动的样本,样本伪装成韩办公软件Hancom Office 组件hancon.dll。由于样本被批量上传至平台,并有很多不同的加壳版本,我们猜测这批样本可能为攻击者测试使用,经过我们对hancom.dll 的溯源关联,我们又关联到了较新的一批hancom.dll组件。
攻击仍从一个文档开始,当受害者打开诱饵文档并启用宏后,vba代码将从远程链接下载解压并执行第一阶段的loader,loader下载释放hancom.dll后调用其导出函数执行,随后收集信息至PI_000.dat、PI_001.dat,然后从自身解密数据,创建傀儡进程svchost.exe注入执行,这一步将收集的键盘记录信息并将收集的信息进行加密,随后再次从自身解密数据,注入到傀儡进程iexplorer.exe执行,这一步将登录被盗的daum邮箱,通过文件映射,将加密的数据通过邮件的方式发送给攻击者。
Kimsuky 作为朝鲜 APT 组织之一,攻击活动十分频繁,擅长使用社会热点事件作为诱饵,攻击目标主要针对韩国的政府外交、国防统一、企业大学等。
一类诱饵:
d7b717134358bbeefc5796b5912369f0
6a614ca002c5b3a4d7023faffc0546e1
bce51419fae8acbeff3149ca53f8baad
49a04c85555b35f998b1787b325526e6
c9f23b6ee1ba97c753892e6c103521d6
5b2355014f72dc2714dc5a5f04fe9519
8ca84c206fe8436dcc92bf6c1f7cf168
d725efd437d26e01e3b64e722929c01e
0d36f4f5a1f7bc7d89fbda02be7c2336
86c462b8ceffbc10018df2c32e024b29
208a3b4565d3041d09448a23a80edf1c
http://connectter[.]atwebpages[.]com/2612/download[.]php?
http://majar[.]medianewsonline[.]com/0812/1[.]php?
http://majar[.]medianewsonline[.]com/0812/1[.]php?
http://eucie09111[.]myartsonline[.]com/0502/v[.]php?
http://hanlight[.]mygamesonline[.]org/2403/v[.]php?
http://ftcpark59[.]getenjoyment[.]net/1703/v[.]php?
二类诱饵:
dfbe17d9dfa3f3bb715e1d8348bd1f50
dc5fa08c7e2bb959042f5572c91ada5e
1269e2b00fd323a7748215124cb058cd
9d3b4e82d2c839ffc2887946fb204615
5973ba270e9b5ea57c138245ffc39552
af3288ed7853865d562ccd1f48fa4a16
199674e87f437bdbd68884b155346d25
http://manct[.]atwebpages[.]com/ck/uy[.]txt
http://fabre[.]myartsonline[.]com/ys/ha[.]txt
http://rukagu[.]mypressonline[.]com/le/yj[.]txt
http://quarez[.]atwebpages[.]com/ny/ui[.]txt
http://quarez[.]atwebpages[.]com/ny/post[.]php
http://quarez[.]atwebpages[.]com/ds/le[.]txt
http://waels[.]onlinewebshop[.]net/st/wa[.]txt
http://pootball[.]medianewsonline[.]com/ro/ki[.]txt
三类诱饵:
04a0505cc45d2dac4be9387768efcb7c
d3a317dd167cfa77c976fa9c86c24982
d8e817abd5ad765bf7acec5d672cbb8d
4886f89546c422f5e04c2da33090a201
0a68d6a3d0aa9c5a3a4485d314ea8372
c6437d685f4a489c867b4d2b68f07f1a
36ad6b5775ac550a36f56467051d2c03
ec3f771c71a24c165697e26e136daa4a
9ee9dacd6703c74e959a70a18ebb3875
1670bb091dba017606ea5e763072d45f
21b72a6ed58db07a7f7c16372c3422e2
41aba3f7a154fb209beba0e36e6ef3ab
68a1cc84de7d5802b7251786a8a5da0c
a9b6cf8d8d0a67da4eea269dab16fe99
fe4dd316363d3631c83c2995dd3775f4
http://yanggucam[.]designsoup[.]co[.]kr/user/views/board/skin/secret/css/list[.]php?query=1
http://samsoding[.]homm7[.]gethompy[.]com/plugins/dropzone/min/css/list[.]php?query=1
http://www[.]mechapia[.]com/_admin/nicerlnm/web/style/list[.]php?query=1
http://miracle[.]designsoup[.]co[.]kr/user/views/resort/controller/css/update/list[.]php?query=1
http://cwda[.]co[.]kr/theme/basic/skin/new/basic/update/list[.]php?query=1
http://cwda[.]co[.]kr/theme/basic/skin/new/basic/update/Normal[.]dotm?q=6
http://heritage2020[.]cafe24[.]com/plugin/kcpcert/bin/list[.]php?query=1
http://www[.]inonix[.]co[.]kr/kor/page/product/_notes/list[.]php?query=1
http://www[.]inonix[.]co[.]kr/kor/page/product/_notes/tmp/?q=6
http://beilksa[.]scienceontheweb[.]net/cookie/select/log/list[.]php?query=1
http://beilksa[.]scienceontheweb[.]net/cookie/select/log/tmp?q=6
http://www[.]inonix[.]co[.]kr/kor/board/widgets/mcontent/skins/tmp?q=6
http://koreacit[.]co[.]kr/skin/new/basic/update/temp?q=6
https://reform-ouen[.]com/wp-includes/css/dist/nux/dotm/dwn[.]php?id=0119
http://www[.]anpcb[.]co[.]kr/plugin/sns/facebook/src/update/normal[.]dotm?q=6
http://beilksa[.]scienceontheweb[.]net/cookie/select/log/tmp?q=6
四类诱饵:
0821884168a644f3c27176a52763acc9
95c92bcfc39ceafc1735f190a575c60c
http://wbg0909[.]scienceontheweb[.]net/0412/download[.]php?
https://smyun0272[.]blogspot[.]com/2021/06/dootakim[.]html
http://alyssalove[.]getenjoyment[.]net/0423/v[.]php?
五类诱饵:新的诱饵文档测试活动:
e3e40b3eaefeb0c63dd449087a8988ef
FE3AD944D07B66C83DC433C39FC054F4
D79C92CC5AB70B61B2E174256577EA3A
9E0B68D23D36A6D276BA204BD8377120
12047FD5EF345CE53C92324357BDFFBE
27EE7CF37FFFFF7809E806F2462AEB00
FA935505E2A9A7DE6380AB9447D07D2C
https://1ive[.]me/ww/mac/0526_sim/d[.]php?na=version[.]gif
https://onedrive[.]live[.]com/?authkey=%21APtP1%2DAyXU4q3Gg&cid=EA63197CF6E2BF62&id=EA63197CF6E2BF62%21171&parId=root&o=OneUp
https://worldinfocontact[.]club/111/mac3[.]php?na="username"
https://worldinfocontact[.]club/111/bill/cow[.]php?op=1drop[.]bat
https://worldinfocontact[.]club/111/bill/expres[.]php?op=2
http://nuclearpolicy101[.]org/wp-admin/includes/0421/d[.]php?na=dot[.]gif
http://nuclearpolicy101[.]org/wp-admin/includes/0421/d[.]php?na=vbtmp
hancom
15ec5c7125e6c74f740d6fc3376c130d
3ecc65085a91044a119abce4f0c0d4de
ec19cd77170b6ac8772c5799fdd88852
11ac8609d64e5a5ade83eff92e4f1314
1d30dfa5d8f21d1465409b207115ded6
37e4865de72c3169d591e16ef8823676
e69294040dab044805c9d7c47fef4844
cf5815a1f635dca148ccffeb074b64d5
c9dae2b42f0b28631dc314a74fa2177f
0629fd238259d7df7aa22ca82ac6b93e
425f291cbaee9b44214057642db271a5
0e998937644007904f27a1eaffe32df5
7a67b8c387f24b782e46601634165681
6ec77913e6a359ee4e62909e28c08f1d
2399df3a222032c188a22df52a49384a
d73239230625afd2d9fa6cce1c6c022c
4a139f6888790f059ff5e19056ca5664
71e480edcb51a02b8460ccc9b2dfa272(doc)
72d43ff8f9ee0819e96ed7fd7d9a551a(wieb.dat)
7f8a4e0dca2e18121af505d9198d81d1(cvwiq.zip)
523b3401b0fb0e8aec9be70f57686840(hancom_vmp_zip)
4a139f6888790f059ff5e19056ca5664(hancom_vmp)
http://kr2959[.]atwebpages[.]com/view.php?id=2
http://kr2959[.]atwebpages[.]com/view[.]php?id=21504
klsa[.]onlinewebshop.net
攻击者邮箱:
[email protected]
可能为被盗邮箱/ID:
nk_biz_forum
[email protected]
[email protected]
[email protected]
微信扫一扫
关注该公众号
IoC
04a0505cc45d2dac4be9387768efcb7c
0629fd238259d7df7aa22ca82ac6b93e
0821884168a644f3c27176a52763acc9
0a68d6a3d0aa9c5a3a4485d314ea8372
0d36f4f5a1f7bc7d89fbda02be7c2336
0e998937644007904f27a1eaffe32df5
11ac8609d64e5a5ade83eff92e4f1314
12047FD5EF345CE53C92324357BDFFBE
1269e2b00fd323a7748215124cb058cd
15ec5c7125e6c74f740d6fc3376c130d
1670bb091dba017606ea5e763072d45f
199674e87f437bdbd68884b155346d25
1d30dfa5d8f21d1465409b207115ded6
208a3b4565d3041d09448a23a80edf1c
21b72a6ed58db07a7f7c16372c3422e2
2399df3a222032c188a22df52a49384a
27EE7CF37FFFFF7809E806F2462AEB00
36ad6b5775ac550a36f56467051d2c03
37e4865de72c3169d591e16ef8823676
3ecc65085a91044a119abce4f0c0d4de
41aba3f7a154fb209beba0e36e6ef3ab
425f291cbaee9b44214057642db271a5
4886f89546c422f5e04c2da33090a201
49a04c85555b35f998b1787b325526e6
4a139f6888790f059ff5e19056ca5664
523b3401b0fb0e8aec9be70f57686840
5973ba270e9b5ea57c138245ffc39552
5b2355014f72dc2714dc5a5f04fe9519
68a1cc84de7d5802b7251786a8a5da0c
6a614ca002c5b3a4d7023faffc0546e1
6ec77913e6a359ee4e62909e28c08f1d
71e480edcb51a02b8460ccc9b2dfa272
72d43ff8f9ee0819e96ed7fd7d9a551a
7a67b8c387f24b782e46601634165681
7f8a4e0dca2e18121af505d9198d81d1
86c462b8ceffbc10018df2c32e024b29
8ca84c206fe8436dcc92bf6c1f7cf168
95c92bcfc39ceafc1735f190a575c60c
9E0B68D23D36A6D276BA204BD8377120
9d3b4e82d2c839ffc2887946fb204615
9ee9dacd6703c74e959a70a18ebb3875
D79C92CC5AB70B61B2E174256577EA3A
FA935505E2A9A7DE6380AB9447D07D2C
FE3AD944D07B66C83DC433C39FC054F4
a9b6cf8d8d0a67da4eea269dab16fe99
af3288ed7853865d562ccd1f48fa4a16
[email protected]
bce51419fae8acbeff3149ca53f8baad
c6437d685f4a489c867b4d2b68f07f1a
c9dae2b42f0b28631dc314a74fa2177f
c9f23b6ee1ba97c753892e6c103521d6
cf5815a1f635dca148ccffeb074b64d5
d3a317dd167cfa77c976fa9c86c24982
d725efd437d26e01e3b64e722929c01e
d73239230625afd2d9fa6cce1c6c022c
d7b717134358bbeefc5796b5912369f0
d8e817abd5ad765bf7acec5d672cbb8d
[email protected]
dc5fa08c7e2bb959042f5572c91ada5e
dfbe17d9dfa3f3bb715e1d8348bd1f50
[email protected]
[email protected]
[email protected]
e3e40b3eaefeb0c63dd449087a8988ef
e69294040dab044805c9d7c47fef4844
ec19cd77170b6ac8772c5799fdd88852
ec3f771c71a24c165697e26e136daa4a
fe4dd316363d3631c83c2995dd3775f4
[email protected]
http://alyssalove.getenjoyment.net/0423/v.php
http://beilksa.scienceontheweb.net/cookie/select/log/list.php?query=1
http://beilksa.scienceontheweb.net/cookie/select/log/tmp?q=6
http://connectter.atwebpages.com/2612/download.php
http://cwda.co.kr/theme/basic/skin/new/basic/update/Normal.dotm?q=6
http://cwda.co.kr/theme/basic/skin/new/basic/update/list.php?query=1
http://eucie09111.myartsonline.com/0502/v.php
http://fabre.myartsonline.com/ys/ha.txt
http://ftcpark59.getenjoyment.net/1703/v.php
http://hanlight.mygamesonline.org/2403/v.php
http://heritage2020.cafe24.com/plugin/kcpcert/bin/list.php?query=1
http://klsa.onlinewebshop.net
http://koreacit.co.kr/skin/new/basic/update/temp?q=6
http://kr2959.atwebpages.com/view.php?id=2
http://kr2959.atwebpages.com/view.php?id=21504
http://majar.medianewsonline.com/0812/1.php
http://manct.atwebpages.com/ck/uy.txt
http://miracle.designsoup.co.kr/user/views/resort/controller/css/update/list.php?query=1
http://nuclearpolicy101.org/wp-admin/includes/0421/d.php?na=dot[.]gif
http://nuclearpolicy101.org/wp-admin/includes/0421/d.php?na=vbtmp
http://pootball.medianewsonline.com/ro/ki.txt
http://quarez.atwebpages.com/ds/le.txt
http://quarez.atwebpages.com/ny/post.php
http://quarez.atwebpages.com/ny/ui.txt
http://rukagu.mypressonline.com/le/yj.txt
http://samsoding.homm7.gethompy.com/plugins/dropzone/min/css/list.php?query=1
http://waels.onlinewebshop.net/st/wa.txt
http://wbg0909.scienceontheweb.net/0412/download.php
http://www.anpcb.co.kr/plugin/sns/facebook/src/update/normal.dotm?q=6
http://www.inonix.co.kr/kor/board/widgets/mcontent/skins/tmp?q=6
http://www.inonix.co.kr/kor/page/product/_notes/list.php?query=1
http://www.inonix.co.kr/kor/page/product/_notes/tmp/?q=6
http://www.mechapia.com/_admin/nicerlnm/web/style/list.php?query=1
http://yanggucam.designsoup.co.kr/user/views/board/skin/secret/css/list.php?query=1
https://1ive.me/ww/mac/0526_sim/d.php?na=version[.]gif
https://onedrive.live.com/?authkey=%21APtP1%2DAyXU4q3Gg&cid=EA63197CF6E2BF62&id=EA63197CF6E2BF62%21171&parId=root&o=OneUp
https://reform-ouen.com/wp-includes/css/dist/nux/dotm/dwn.php?id=0119
https://smyun0272.blogspot.com/2021/06/dootakim.html
https://worldinfocontact.club/111/bill/cow.php?op=1drop[.]bat
https://worldinfocontact.club/111/bill/expres.php?op=2
https://worldinfocontact.club/111/mac3.php?na="username
[email protected]
0629fd238259d7df7aa22ca82ac6b93e
0821884168a644f3c27176a52763acc9
0a68d6a3d0aa9c5a3a4485d314ea8372
0d36f4f5a1f7bc7d89fbda02be7c2336
0e998937644007904f27a1eaffe32df5
11ac8609d64e5a5ade83eff92e4f1314
12047FD5EF345CE53C92324357BDFFBE
1269e2b00fd323a7748215124cb058cd
15ec5c7125e6c74f740d6fc3376c130d
1670bb091dba017606ea5e763072d45f
199674e87f437bdbd68884b155346d25
1d30dfa5d8f21d1465409b207115ded6
208a3b4565d3041d09448a23a80edf1c
21b72a6ed58db07a7f7c16372c3422e2
2399df3a222032c188a22df52a49384a
27EE7CF37FFFFF7809E806F2462AEB00
36ad6b5775ac550a36f56467051d2c03
37e4865de72c3169d591e16ef8823676
3ecc65085a91044a119abce4f0c0d4de
41aba3f7a154fb209beba0e36e6ef3ab
425f291cbaee9b44214057642db271a5
4886f89546c422f5e04c2da33090a201
49a04c85555b35f998b1787b325526e6
4a139f6888790f059ff5e19056ca5664
523b3401b0fb0e8aec9be70f57686840
5973ba270e9b5ea57c138245ffc39552
5b2355014f72dc2714dc5a5f04fe9519
68a1cc84de7d5802b7251786a8a5da0c
6a614ca002c5b3a4d7023faffc0546e1
6ec77913e6a359ee4e62909e28c08f1d
71e480edcb51a02b8460ccc9b2dfa272
72d43ff8f9ee0819e96ed7fd7d9a551a
7a67b8c387f24b782e46601634165681
7f8a4e0dca2e18121af505d9198d81d1
86c462b8ceffbc10018df2c32e024b29
8ca84c206fe8436dcc92bf6c1f7cf168
95c92bcfc39ceafc1735f190a575c60c
9E0B68D23D36A6D276BA204BD8377120
9d3b4e82d2c839ffc2887946fb204615
9ee9dacd6703c74e959a70a18ebb3875
D79C92CC5AB70B61B2E174256577EA3A
FA935505E2A9A7DE6380AB9447D07D2C
FE3AD944D07B66C83DC433C39FC054F4
a9b6cf8d8d0a67da4eea269dab16fe99
af3288ed7853865d562ccd1f48fa4a16
[email protected]
bce51419fae8acbeff3149ca53f8baad
c6437d685f4a489c867b4d2b68f07f1a
c9dae2b42f0b28631dc314a74fa2177f
c9f23b6ee1ba97c753892e6c103521d6
cf5815a1f635dca148ccffeb074b64d5
d3a317dd167cfa77c976fa9c86c24982
d725efd437d26e01e3b64e722929c01e
d73239230625afd2d9fa6cce1c6c022c
d7b717134358bbeefc5796b5912369f0
d8e817abd5ad765bf7acec5d672cbb8d
[email protected]
dc5fa08c7e2bb959042f5572c91ada5e
dfbe17d9dfa3f3bb715e1d8348bd1f50
[email protected]
[email protected]
[email protected]
e3e40b3eaefeb0c63dd449087a8988ef
e69294040dab044805c9d7c47fef4844
ec19cd77170b6ac8772c5799fdd88852
ec3f771c71a24c165697e26e136daa4a
fe4dd316363d3631c83c2995dd3775f4
[email protected]
http://alyssalove.getenjoyment.net/0423/v.php
http://beilksa.scienceontheweb.net/cookie/select/log/list.php?query=1
http://beilksa.scienceontheweb.net/cookie/select/log/tmp?q=6
http://connectter.atwebpages.com/2612/download.php
http://cwda.co.kr/theme/basic/skin/new/basic/update/Normal.dotm?q=6
http://cwda.co.kr/theme/basic/skin/new/basic/update/list.php?query=1
http://eucie09111.myartsonline.com/0502/v.php
http://fabre.myartsonline.com/ys/ha.txt
http://ftcpark59.getenjoyment.net/1703/v.php
http://hanlight.mygamesonline.org/2403/v.php
http://heritage2020.cafe24.com/plugin/kcpcert/bin/list.php?query=1
http://klsa.onlinewebshop.net
http://koreacit.co.kr/skin/new/basic/update/temp?q=6
http://kr2959.atwebpages.com/view.php?id=2
http://kr2959.atwebpages.com/view.php?id=21504
http://majar.medianewsonline.com/0812/1.php
http://manct.atwebpages.com/ck/uy.txt
http://miracle.designsoup.co.kr/user/views/resort/controller/css/update/list.php?query=1
http://nuclearpolicy101.org/wp-admin/includes/0421/d.php?na=dot[.]gif
http://nuclearpolicy101.org/wp-admin/includes/0421/d.php?na=vbtmp
http://pootball.medianewsonline.com/ro/ki.txt
http://quarez.atwebpages.com/ds/le.txt
http://quarez.atwebpages.com/ny/post.php
http://quarez.atwebpages.com/ny/ui.txt
http://rukagu.mypressonline.com/le/yj.txt
http://samsoding.homm7.gethompy.com/plugins/dropzone/min/css/list.php?query=1
http://waels.onlinewebshop.net/st/wa.txt
http://wbg0909.scienceontheweb.net/0412/download.php
http://www.anpcb.co.kr/plugin/sns/facebook/src/update/normal.dotm?q=6
http://www.inonix.co.kr/kor/board/widgets/mcontent/skins/tmp?q=6
http://www.inonix.co.kr/kor/page/product/_notes/list.php?query=1
http://www.inonix.co.kr/kor/page/product/_notes/tmp/?q=6
http://www.mechapia.com/_admin/nicerlnm/web/style/list.php?query=1
http://yanggucam.designsoup.co.kr/user/views/board/skin/secret/css/list.php?query=1
https://1ive.me/ww/mac/0526_sim/d.php?na=version[.]gif
https://onedrive.live.com/?authkey=%21APtP1%2DAyXU4q3Gg&cid=EA63197CF6E2BF62&id=EA63197CF6E2BF62%21171&parId=root&o=OneUp
https://reform-ouen.com/wp-includes/css/dist/nux/dotm/dwn.php?id=0119
https://smyun0272.blogspot.com/2021/06/dootakim.html
https://worldinfocontact.club/111/bill/cow.php?op=1drop[.]bat
https://worldinfocontact.club/111/bill/expres.php?op=2
https://worldinfocontact.club/111/mac3.php?na="username
[email protected]