Piece of dragon's scales
Contents
티스토리 뷰
Piece of dragon's scales분석가E 2021. 12. 30. 18:30
TL;DR
- kimsuky(a.k.a Thallium) 그룹의 golddragon/braveprince 클러스터를 활용한 공격이 지속되고 있음
- 최근 golddragon/braveprince 클러스트 악성코드에 API 이름을 인코딩 하는 루틴이 추가됨
- 문자열들을 기반으로 추가 인텔리전스를 검색으로 오픈소스 RAT 인 Quasar 기반 악성코드가 발견
개요
사실 golddragon/braveprince 클러스터들(개인적으론 daumrat 이라 부른다.) 은 2021년 중순쯤에 싹 정리해서 포스팅 해야겠다 생각하고 있었는데.. 로스트아크 하면서 시간을 보내던 동안 cisco talos 팀에서 잘 정리해 공개해 주었다. 개꿀이지만 덕분에 쓸게 없어졌다.
그래서 이번 포스팅에서는 인텔리전스 서치를 통해 찾은 name en/decoding 루틴이 추가된 braveprince, password stealer 악성코드, Quarsar RAT 기반의 닷넷 악성코드에 대해 간단히 다뤄보려 한다.
Case 1. API Name En/Decoding 로직이 추가된 golddragon/braveprince 악성코드
rundll.exe를 통해 Run 함수가 실행되면 정보를 탈취하고 svchost.exe, iexplorer.exe를 생성해 daum 메일로 정보를 탈취하는 아주 전형적인 braveprince 클러스터이다.(개인적으론 daumrat라 부른다) 최근 발견된 golddragon/braveprince 악성코드에서 기능들은 기존과 동일했지만, DLL과 API 이름들을 암/복호화 하는 로직이 추가된 샘플을 발견했다.
- WTF_10003CD0 함수
get encoded dll name & api name
파일 내부에는 인코딩된 DLL이름과 DLL이 포함하는 API를 …
Piece of dragon's scales분석가E 2021. 12. 30. 18:30
TL;DR
- kimsuky(a.k.a Thallium) 그룹의 golddragon/braveprince 클러스터를 활용한 공격이 지속되고 있음
- 최근 golddragon/braveprince 클러스트 악성코드에 API 이름을 인코딩 하는 루틴이 추가됨
- 문자열들을 기반으로 추가 인텔리전스를 검색으로 오픈소스 RAT 인 Quasar 기반 악성코드가 발견
개요
사실 golddragon/braveprince 클러스터들(개인적으론 daumrat 이라 부른다.) 은 2021년 중순쯤에 싹 정리해서 포스팅 해야겠다 생각하고 있었는데.. 로스트아크 하면서 시간을 보내던 동안 cisco talos 팀에서 잘 정리해 공개해 주었다. 개꿀이지만 덕분에 쓸게 없어졌다.
그래서 이번 포스팅에서는 인텔리전스 서치를 통해 찾은 name en/decoding 루틴이 추가된 braveprince, password stealer 악성코드, Quarsar RAT 기반의 닷넷 악성코드에 대해 간단히 다뤄보려 한다.
Case 1. API Name En/Decoding 로직이 추가된 golddragon/braveprince 악성코드
rundll.exe를 통해 Run 함수가 실행되면 정보를 탈취하고 svchost.exe, iexplorer.exe를 생성해 daum 메일로 정보를 탈취하는 아주 전형적인 braveprince 클러스터이다.(개인적으론 daumrat라 부른다) 최근 발견된 golddragon/braveprince 악성코드에서 기능들은 기존과 동일했지만, DLL과 API 이름들을 암/복호화 하는 로직이 추가된 샘플을 발견했다.
- WTF_10003CD0 함수
get encoded dll name & api name
파일 내부에는 인코딩된 DLL이름과 DLL이 포함하는 API를 …
IoC
0CF7E1268E8652D841B7BDA784707E445B9CDC2A46FFB375C8F239CB4C551F73
14.47.189.243
222.122.79.232
237DEBA138355BFB448E74BFB68FC868F4807B24D68715A6D47E348FC0CF9257
322AD36BF0DB8244B64E2D3AFC1CCF5ED6685DF3
3903958EB28632AA58E455EB87482D1CCEF38A6FE43512BAAD30902E8BFDD6D5
3A7355417EBFDB5067582916BBAF0F15
4B1B5BED35BC676E835DE14EE033339D37F4549D
51a92bd57ece4a107dacabf2639b6fa06bea8992e72fc9b4305a90fcd984e752
5E3907E9E2ED8FF12BB4E96B52401D871526C5ED502D2149DD4F680DA4925590
7DC6F8AAAF4431C365564A51DD37C143D857B89E
8EDFA086DE4DFDC93C0551BBB08CD5A8
A7B0711B45081768817E85D6FC76E23093093F87
C3885F3C1001A53EB4FBBB4B5F42163E
E11E2425C62F34EBB3F640BAEEFB67D5
E647B3366DC836C1F63BDC5BA2AEF3A9
E8BEF41ED7D0704D9206880EE0F30B5ECF30F204
14.47.189.243
222.122.79.232
237DEBA138355BFB448E74BFB68FC868F4807B24D68715A6D47E348FC0CF9257
322AD36BF0DB8244B64E2D3AFC1CCF5ED6685DF3
3903958EB28632AA58E455EB87482D1CCEF38A6FE43512BAAD30902E8BFDD6D5
3A7355417EBFDB5067582916BBAF0F15
4B1B5BED35BC676E835DE14EE033339D37F4549D
51a92bd57ece4a107dacabf2639b6fa06bea8992e72fc9b4305a90fcd984e752
5E3907E9E2ED8FF12BB4E96B52401D871526C5ED502D2149DD4F680DA4925590
7DC6F8AAAF4431C365564A51DD37C143D857B89E
8EDFA086DE4DFDC93C0551BBB08CD5A8
A7B0711B45081768817E85D6FC76E23093093F87
C3885F3C1001A53EB4FBBB4B5F42163E
E11E2425C62F34EBB3F640BAEEFB67D5
E647B3366DC836C1F63BDC5BA2AEF3A9
E8BEF41ED7D0704D9206880EE0F30B5ECF30F204