국내 공공기관의 설치 파일을 위장한 악성코드 (Kimsuky 그룹) - ASEC BLOG 관련 IOC 16개 발견

Impotant:
http://minish[.]wiki[.]gd/upload[.]php
http://127[.]0[.]0[.]1:8080/recv
http://210[.]16[.]120[.]210/rdpclip[.]dat
b8ffb0b5bc3c66b7f1b0ec5cc4aadafc
7034268d1c52539ea0cd48fd33ae43c4
https://fitting-discrete-lemur[.]ngrok-free[.]app/minish/index[.]php
http://minish[.]wiki[.]gd/eng[.]db
127[.]0[.]0[.]1
7beaf468765b2f1f346d43115c894d4b
https://real-joey-nicely[.]ngrok-free[.]app/mir/index[.]php
http://ngrok-free[.]app
f03618281092b02589bca833f674e8a0
b74efd8470206a20175d723c14c2e872
http://minish[.]wiki[.]gd/index[.]php
210[.]16[.]120[.]210
http://minish[.]wiki[.]gd/c[.]pdf

요약:
AhnLab SEcurity intelligence Center(ASEC)에서는 Kimsuky 그룹이 국내 공공기관의 인스톨러로 위장한 악성코드로 Dropper로서 Endoor를 생성한 것을 확인하였다. 실제 공격에 사용된 이력은 확인되지 않았지만, 드로퍼가 생성하는 백도어 악성코드의 공격 사례는 같은 시점에 확인되었다. 공격자는 백도어를 이용해 추가 악성코드를 다운로드하거나 스크린샷을 탈취하는 악성코드를 설치하기도 하였으며, Endoor는 과거부터 스피어피싱 공격으로 유포되는 Nikidoor과 함께 사용되고 있다.

Open New Windows

국내 공공기관의 설치 파일을 위장한 악성코드 (Kimsuky 그룹) - ASEC BLOG:
https://asec.ahnlab.com/ko/62117/

Next Post Previous Post
No Comment
Add Comment
comment url