Operation KimsuKEE(Kimsuky Eternal Evolution)
Contents
보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
Operation KimsuKEE(Kimsuky Eternal Evolution)
2019.05.10
11,561
1. 개요
지난 2013년 러시아 보안업체인 카스퍼스키 랩(Kaspersky Lab)은 보고서를 통해 북한의 APT(Advanced Persistent Threat, 지능형 지속 공격) 그룹 이름을 명명하였다. 그 이름은 바로 ‘Kimsuky’. 그때부터 사람들은 그 조직을 Kimsuky라고 불렀다. Kimsuky APT 그룹은 2014년 망 분리 운영 중이던 한국수자력원자력에 대한 해킹 공격을 성공함으로써 그 악명이 높아지게 되었다. 이후로도 Kimsuky APT 그룹은 대남 사이버전을 수행해 왔으며, 현재까지도 그 활동을 지속하고 있다.
본 보고서는 Kimsuky APT 그룹의 전반적인 공격 시나리오와 특징을 다루며, 새롭게 진화되어 출현한 최신 샘플 Operation KimsuKEE에 대한 분석을 기술하고 있다.
2. Kimsuky APT 그룹 분석
1) Kimsuky APT 그룹의 공격 시나리오
아래 [그림 1]은 Kimsuky APT 그룹의 일반적인 공격 시나리오를 나타낸다.
[그림 1] Kimsuky APT 그룹 공격 시나리오
2) Kimsuky APT 그룹과 사이버 킬 체인 연관성
아래 [표 1]은 각 사이버 킬 체인 구성 요소와 연관되는 Kimsuky APT 그룹의 공격 전략을 나타낸다.
|
|
사이버 킬 체인
|
|
Kimsuky APT 그룹 공격 전략
|
|
4단계
|
|
Exploitation
|
|
HWP Exploit
|
|
한글 워드 문서(HWP) …
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
Operation KimsuKEE(Kimsuky Eternal Evolution)
2019.05.10
11,561
1. 개요
지난 2013년 러시아 보안업체인 카스퍼스키 랩(Kaspersky Lab)은 보고서를 통해 북한의 APT(Advanced Persistent Threat, 지능형 지속 공격) 그룹 이름을 명명하였다. 그 이름은 바로 ‘Kimsuky’. 그때부터 사람들은 그 조직을 Kimsuky라고 불렀다. Kimsuky APT 그룹은 2014년 망 분리 운영 중이던 한국수자력원자력에 대한 해킹 공격을 성공함으로써 그 악명이 높아지게 되었다. 이후로도 Kimsuky APT 그룹은 대남 사이버전을 수행해 왔으며, 현재까지도 그 활동을 지속하고 있다.
본 보고서는 Kimsuky APT 그룹의 전반적인 공격 시나리오와 특징을 다루며, 새롭게 진화되어 출현한 최신 샘플 Operation KimsuKEE에 대한 분석을 기술하고 있다.
2. Kimsuky APT 그룹 분석
1) Kimsuky APT 그룹의 공격 시나리오
아래 [그림 1]은 Kimsuky APT 그룹의 일반적인 공격 시나리오를 나타낸다.
[그림 1] Kimsuky APT 그룹 공격 시나리오
2) Kimsuky APT 그룹과 사이버 킬 체인 연관성
아래 [표 1]은 각 사이버 킬 체인 구성 요소와 연관되는 Kimsuky APT 그룹의 공격 전략을 나타낸다.
|
|
사이버 킬 체인
|
|
Kimsuky APT 그룹 공격 전략
|
|
4단계
|
|
Exploitation
|
|
HWP Exploit
|
|
한글 워드 문서(HWP) …
IoC
110.4.107.244
617372010E9665CF8267F629E6D55FFF
92756CCC7C91B09B8B098E02C2F5AAE6
98B68C2F2FDC67DB371BB6783B811C8F
9E49C982BE9BDA85980861C7F5B8493D
E0C5BF2CD4BEC075F442323DF79A526F
E9C1DEC196441577816D85DC304D702D
http://jmable.mireene.com/shop/kcp/js/com/cow.php?op=0
http://jmable.mireene.com/shop/kcp/js/com/driving.ps1
http://jmable.mireene.com/shop/kcp/js/com/expres.php?op=1
http://jmable.mireene.com/shop/kcp/js/com/expres.php?op=2
http://jmable.mireene.com/shop/kcp/js/com/moonx.hta
http://jmable.mireene.com/shop/kcp/js/com/upload.php
http://jmable.mireene.com/shop/price/com/first.hta
617372010E9665CF8267F629E6D55FFF
92756CCC7C91B09B8B098E02C2F5AAE6
98B68C2F2FDC67DB371BB6783B811C8F
9E49C982BE9BDA85980861C7F5B8493D
E0C5BF2CD4BEC075F442323DF79A526F
E9C1DEC196441577816D85DC304D702D
http://jmable.mireene.com/shop/kcp/js/com/cow.php?op=0
http://jmable.mireene.com/shop/kcp/js/com/driving.ps1
http://jmable.mireene.com/shop/kcp/js/com/expres.php?op=1
http://jmable.mireene.com/shop/kcp/js/com/expres.php?op=2
http://jmable.mireene.com/shop/kcp/js/com/moonx.hta
http://jmable.mireene.com/shop/kcp/js/com/upload.php
http://jmable.mireene.com/shop/price/com/first.hta