lazarusholic

Everyday is lazarus.dayβ

Kimsuky의 TrollAgent를 탐지하는 YARA rule 작성가이드

2024-03-25, Logpresso
https://drive.google.com/file/d/1NfkJxhQFbX_Qivr25iRkMiEPtxdG215I/view
Logpresso_CTI_Monthly_Report_2024.03.pdf, 2.7 MB
#Kimsuky #TrollAgent #YARA

Contents

로그프레소는 2024년 1월 국산 보안 프로그램으로 위장한 악성코드를 수집하였습니다.
위장 대상은 국내 특정 홈페이지 로그인 시 필수로 설치해야 하는 전자문서 및 증명서
위변조 방지 프로그램입니다. 해당 악성코드는 악성코드 탐지를 회피하기 위해 국내 방산 업체
D2innovation 인증서로 서명되어 있습니다.
이 프 로 그 램 을 실 행 하 면 정 상 적 인 보 안 프 로 그 램 이 설 치 되 는 것 으 로 보 이 지 만 ,
백그라운드에서는 악성 DLL 파일이 실행됩니다. 이 DLL 파일은 Go 언어로 구현되었으며
다양한 정보(시스템 정보, C 드라이브 특정 파일, SSH, FileZilla, 브라우저, 화면 캡쳐 등)를
수집 후 C2 서버로 전송합니다. GPKI 디렉토리를 탈취하는 기능이 포함된 것으로 보아
공공기관을 대상으로 공격을 시도한 것으로 추정할 수 있습니다.
다음 이미지와 같이 특정 홈페이지의 '필수 설치 보안 프로그램' 다운로드 페이지에서 해당
파일이 유포된 것으로 추정됩니다. 악성코드는 보안 프로그램 설치 파일인 'TrustPKI',
'NX_PRNMAN'로 위장하였습니다.
1) YARA rule 작성을 위한 TrollAgent 악성코드 구조 소개
2. 위협 분석 - Kimsuky의 TrollAgent를 탐지하는
YARA rule 작성 가이드
2. 위협 분석 - Kimsuky의 TrollAgent를 …

IoC

013c4ee2b32511b11ee9540bb0fdb9d1
035cf750c67de0ab2e6228409ac85ea3
103.11.64.167
19c2decfa7271fa30e48d4750c1d18c1
216.189.159.197
27ef6917fe32685fdf9b755eb8e97565
2aaa3f1859102aab35519f0d4c1585dd
2b678c0f59924ca90a753daa881e9fd3
2e0ffaab995f22b7684052e53b8c64b9283b5e81503b88664785fe6d6569a55e
4168ff8b0a3e2f7e9c96afb653d42a01
4222492e069ac78a55d3451f4b9b9fca
42ea65fda0f92bbeca5f4535155125c7
6097d030fe6f05ec0249e4d87b6be4a6
62fba369711087ea37ef0b0ab62f3372
7457dc037c4a5f3713d9243a0dfb1a2c
7b6d02a459fdaa4caa1a5bf741c4bd42
87429e9223d45e0359cd1c41c0301836
88f183304b99c897aacfa321d58e1840
8d4af59eebdcda10f3c88049bb097a3a
9360a895837177d8a23b2e3f79508059
9e75705b4930f50502bcbd740fc3ece1
a67cf9add2905c11f5c466bc01d554b0
b532f3dcc788896c4844f36eb6cee3d1
b97abf7b17aeb4fa661594a4a1e5c77f
c8e7b0d3b6afa22e801cacaf16b37355
d67abe980a397a94e1715df6e64eedc8
dc636da03e807258d2a10825780b4639
e4a6d47e9e60e4c858c1314d263aa317