lazarusholic

Everyday is lazarus.dayβ

Kimsuky disguised as a Korean company signed with a valid certificate to distribute Troll Stealer

2024-02-07, S2W
https://medium.com/s2wblog/kimsuky-disguised-as-a-korean-company-signed-with-a-valid-certificate-to-distribute-troll-stealer-35b3cd961f91
#D2Innovation #TrollStealer #Kimsuky

Contents

Kimsuky disguised as a Korean company signed with a valid certificate to distribute Troll Stealer
Author: Jiho Kim & Sebin Lee | BLKSMTH
Last Modified : Feb 7, 2024
Executive Summary
- 2024년 1월 10일, S2W의 위협 연구 및 인텔리전스 센터 Talon은 Kimsuky 그룹의 새로운 악성코드로 추정되는 샘플을 VirusTotal에서 헌팅하여 분석을 진행
— 해당 악성코드는 국내 특정 사이트 접속 후 추가로 설치가 필요한보안 프로그램 다운로드 페이지로부터 유포된 것으로 확인
— 일반적인 공급망 공격과는 다르게, 특정 사이트에 업로드된 설치 프로그램만 악성코드가 포함된 버전으로 변경된 점 확인
- 헌팅된 악성코드는 감염된 시스템의 정보를 탈취하는 Go언어로 작성된 정보 탈취형 악성코드로, SGA Solutions의 보안 프로그램 설치 파일(TrustPKI, NX_PRNMAN)로 위장한 Dropper로 부터 드랍 및 실행됨
- Dropper 실행 시 악성코드와 함께 정상 설치 파일로 함께 실행되며, 악성코드와 정상 설치파일 모두 유효한 정상 “D2innovation Co.,LTD” 인증서로 서명되었다는 점에서 실제 해당 기업의 인증서가 탈취되었을 가능성이 존재
- S2W Talon은 악성코드 내에 “D:/~/repo/golang/src/root.go/s/troll/agent”라는 경로명이 포함되어 있다는 점에서 해당 악성코드를 “Troll Stealer” 로 명명
- (주요 기능) Troll Stealer는 …

IoC

17ccb0832c3382b5f9e86236e035d899a351c98f3871080c138d4494218cbbc2b6f9dc43705ed97e8b0b09f25752302094e0d297151f67b22328af95610f72f1
19c2decfa7271fa30e48d4750c1d18c1
216.189.159.197
27ef6917fe32685fdf9b755eb8e97565
2e0ffaab995f22b7684052e53b8c64b9283b5e81503b88664785fe6d6569a55e
61b8fbea8c0dfa337eb7ff978124ddf496d0c5f29bcb5672f3bd3d6bf832ac92
6eebb5ed0d0b5553e40a7b1ad739589709d077aab4cbea1c64713c48ce9c96f9
7457dc037c4a5f3713d9243a0dfb1a2c
7b6d02a459fdaa4caa1a5bf741c4bd42
87429e9223d45e0359cd1c41c0301836
88f183304b99c897aacfa321d58e1840
955cb4f01eb18f0d259fcb962e36a339e8fe082963dfd9f72d3851210f7d2d3b
a8c24a3e54a4b323973f61630c92ecaad067598ef2547350c9d108bc175774b9
bc4c1c869a03045e0b594a258ec3801369b0dcabac193e90f0a684900e9a582d
c8e7b0d3b6afa22e801cacaf16b37355
d6abeeb469e2417bbcd3c122c06ba099
f8ab78e1db3a3cc3793f7680a90dc1d8ce087226ef59950b7acd6bb1beffd6e3
ff3718ae6bd59ad479e375c602a81811718dfb2669c2d1de497f02baf7b4adca
http://216.189.159.197
http://ai.kostin.p-e.kr
http://ai.kostin.p-e.kr/index.php
http://ai.limsjo.p-e.kr
http://ai.limsjo.p-e.kr/index.php
http://ai.negapa.p-e.kr
http://ai.negapa.p-e.kr/index.php
http://ar.kostin.p-e.kr
http://ar.kostin.p-e.kr/index.php
http://coolsystem.co.kr/admin/mail/index.php
http://ol.negapa.p-e.kr
http://ol.negapa.p-e.kr/index.php
http://qi.limsjo.p-e.kr
http://qi.limsjo.p-e.kr/index.php