Operation Kabar Cobra: Kimsuky 공격 그룹의 최신 타깃 공격 사례 분석
Contents
2019. 02. 21
Operation Kabar Cobra
Kimsuky 공격 그룹의 최신 타깃 공격 사례 분석
안랩 시큐리티대응센터(ASEC) 대응팀
경기도 성남시 분당구 판교역로 220 (우) 13493
www.ahnlab.com
© AhnLab, Inc. All rights reserved.
|
대표전화 : 031-722-8000 |
팩스 : 031-722-8901
|
Analysis Report_Operation Kabar Cobra
목차
개요 ............................................................................................................................................................................................ 3
오퍼레이션 카바 코브라(Operation Kabar Cobra) ............................................................................................... 4
악성코드 상세 분석............................................................................................................................................................ 4
1. 공격 대상별 드롭퍼(Dropper) 분석 .................................................................................................................. 4
2. 악성 스크립트 및 기능별 악성코드 분석 .................................................................................................... 10
악성코드 프로파일링 ....................................................................................................................................................... 33
1. 공격 대상의 변화 .................................................................................................................................................... 34
2. 악성코드 유포지 및 C&C 서버 ........................................................................................................................ 38
3. 공격 배후 추정 근거 ............................................................................................................................................. 39
결론 .......................................................................................................................................................................................... 47
안랩 제품 대응 현황 ....................................................................................................................................................... 47
IoC (Indicators of Compromise) 정보 ...................................................................................................................... 49
※별첨 ...................................................................................................................................................................................... 52
© AhnLab, Inc. All rights reserved.
2
Analysis Report_Operation Kabar Cobra
개요
지난 2019년 1월 7일, 통일부 출입기자단을 대상으로 악성코드가 첨부된 메일이 발송됐다. 해당 메일과
악성코드는 이른바 Kimsuky(김수키 또는 킴수키)로 불리는 공격 그룹의 것으로 추정된다.
지난 2013년 처음 알려진 Kimsuky 공격 그룹은 2019년 현재까지 활발하게 활동하고 있다. 특히 최근에
는 제2차 북미 정상회담을 앞두고 주변국 내부의 반응에 대한 정보를 수집하는 한편, 금융 …
Operation Kabar Cobra
Kimsuky 공격 그룹의 최신 타깃 공격 사례 분석
안랩 시큐리티대응센터(ASEC) 대응팀
경기도 성남시 분당구 판교역로 220 (우) 13493
www.ahnlab.com
© AhnLab, Inc. All rights reserved.
|
대표전화 : 031-722-8000 |
팩스 : 031-722-8901
|
Analysis Report_Operation Kabar Cobra
목차
개요 ............................................................................................................................................................................................ 3
오퍼레이션 카바 코브라(Operation Kabar Cobra) ............................................................................................... 4
악성코드 상세 분석............................................................................................................................................................ 4
1. 공격 대상별 드롭퍼(Dropper) 분석 .................................................................................................................. 4
2. 악성 스크립트 및 기능별 악성코드 분석 .................................................................................................... 10
악성코드 프로파일링 ....................................................................................................................................................... 33
1. 공격 대상의 변화 .................................................................................................................................................... 34
2. 악성코드 유포지 및 C&C 서버 ........................................................................................................................ 38
3. 공격 배후 추정 근거 ............................................................................................................................................. 39
결론 .......................................................................................................................................................................................... 47
안랩 제품 대응 현황 ....................................................................................................................................................... 47
IoC (Indicators of Compromise) 정보 ...................................................................................................................... 49
※별첨 ...................................................................................................................................................................................... 52
© AhnLab, Inc. All rights reserved.
2
Analysis Report_Operation Kabar Cobra
개요
지난 2019년 1월 7일, 통일부 출입기자단을 대상으로 악성코드가 첨부된 메일이 발송됐다. 해당 메일과
악성코드는 이른바 Kimsuky(김수키 또는 킴수키)로 불리는 공격 그룹의 것으로 추정된다.
지난 2013년 처음 알려진 Kimsuky 공격 그룹은 2019년 현재까지 활발하게 활동하고 있다. 특히 최근에
는 제2차 북미 정상회담을 앞두고 주변국 내부의 반응에 대한 정보를 수집하는 한편, 금융 …
IoC
02dae3046d1669a55785ba935b0e3f0b
08523230E221246BB59CDE7C3E8363C7
0a50827a4897a43a882c8d3c691d943d
0eb739c8faf77dae0546ff447ad06038
11fc4829c2fff9fb240acbd71c60fc67
185.224.138.29
1A082A388A285E7FC4541124794F3910
1DFE826F71C20FF04987A9160C177E46
1dfe826f71c20ff04987a9160c177e46
20301fdd013c836039b8cfe0d100a1d7
242c31d0ce2109fdface788663e90f49
2f26f3a883aeca9a11769664fc7d4750
2fdf23367c604511d019a6914c50bc0b
48d9e625ea3efbcbef3963c8714544a7
4DE21C3AF64B3B605446278DE92DFFF4
4de21c3af64b3b605446278de92dfff4
54783422CFD7029A26A3F3F5E9087D8A
54783422cfd7029a26a3f3f5e9087d8a
566cc6129dc887629a7131821c7547e5
6106449779d453be4ae28d89f207e921
66b73fba4e47b3184edd75b0ce9cf928
71EC829DB01818D305552EC4EBB1C258
71ec829db01818d305552ec4ebb1c258
74c3011b6980bea23d119822d979a364
8332be776617364c16868c1ad6b4efe7
874C0EC36BE15FE3403F3ABAD6ECEA75
874c0ec36be15fe3403f3abad6ecea75
95410A32A76AECB099AF53255BB90737
95410a32a76aecb099af53255bb90737
9D685308D3125E14287ECB7FBE5FCD37
9c3396aa94083916227201bf1396a2ca
9d685308d3125e14287ecb7fbe5fcd37
AEA8D3002132094A58D5189A8E886CF8
B49BBC11ED000211A5AF7EB35F596886
a45ba001c3abee03bda49c6816d9a17c
ab73b1395938c48d62b7eeb5c9f3409d
b02f3881321f0912b2ae3f27498c448f
b49bbc11ed000211a5af7eb35f596886
b7359ae1a83323d3671e7c3a63ce7bf1
b994bd755e034d2218f8a3f70e91a165
ba89337af43f0b07a35cc892ac95112a
bb42e6649d927899c816cc04c2bffc06
cd705902ea42d0de2a8456b055c3bb87
dc1196876d9a59ab477ebc62d07a255e
f22db1e3ea74af791e34ad5aa0297664
08523230E221246BB59CDE7C3E8363C7
0a50827a4897a43a882c8d3c691d943d
0eb739c8faf77dae0546ff447ad06038
11fc4829c2fff9fb240acbd71c60fc67
185.224.138.29
1A082A388A285E7FC4541124794F3910
1DFE826F71C20FF04987A9160C177E46
1dfe826f71c20ff04987a9160c177e46
20301fdd013c836039b8cfe0d100a1d7
242c31d0ce2109fdface788663e90f49
2f26f3a883aeca9a11769664fc7d4750
2fdf23367c604511d019a6914c50bc0b
48d9e625ea3efbcbef3963c8714544a7
4DE21C3AF64B3B605446278DE92DFFF4
4de21c3af64b3b605446278de92dfff4
54783422CFD7029A26A3F3F5E9087D8A
54783422cfd7029a26a3f3f5e9087d8a
566cc6129dc887629a7131821c7547e5
6106449779d453be4ae28d89f207e921
66b73fba4e47b3184edd75b0ce9cf928
71EC829DB01818D305552EC4EBB1C258
71ec829db01818d305552ec4ebb1c258
74c3011b6980bea23d119822d979a364
8332be776617364c16868c1ad6b4efe7
874C0EC36BE15FE3403F3ABAD6ECEA75
874c0ec36be15fe3403f3abad6ecea75
95410A32A76AECB099AF53255BB90737
95410a32a76aecb099af53255bb90737
9D685308D3125E14287ECB7FBE5FCD37
9c3396aa94083916227201bf1396a2ca
9d685308d3125e14287ecb7fbe5fcd37
AEA8D3002132094A58D5189A8E886CF8
B49BBC11ED000211A5AF7EB35F596886
a45ba001c3abee03bda49c6816d9a17c
ab73b1395938c48d62b7eeb5c9f3409d
b02f3881321f0912b2ae3f27498c448f
b49bbc11ed000211a5af7eb35f596886
b7359ae1a83323d3671e7c3a63ce7bf1
b994bd755e034d2218f8a3f70e91a165
ba89337af43f0b07a35cc892ac95112a
bb42e6649d927899c816cc04c2bffc06
cd705902ea42d0de2a8456b055c3bb87
dc1196876d9a59ab477ebc62d07a255e
f22db1e3ea74af791e34ad5aa0297664