요약
- 2018 년말부터 2019년 사이의 김수키(Kimsuky) 해킹 그룹의 활동을 분석한 결과
- 특정 IP 대역을 사용하고 기반시설을 구축 시 도메인, C&C 서버 폴더 네이밍의 특징 발견.
A. 사용 IP 주소 특징
- 활용된 주요 IP대역 : 185.224.137.0/23, 185.224.138.0/23
※185.224.137.164 : 2018년 12월 - 2020년 1월사이 최소 24개의 악성 도메인의 주소로 활용
위 IP를 사용한 악성 도메인과 사용 기간
user-daum-centre.pe.hu (2019-04-15 ~ 2019-05-21)
rrnaver.com (2019-08-21 ~ 2020-01-01)
nortice-centre.esy.es (2020-01-02 ~ 2020-01-28)
kakao-check.esy.es (2019-06 ~ 2019-11)
B. 사용 Domain 특징
- pe.hu - 다수 서브도메인 사용, Kabar Cobra, Kitty Phishing, WildCommand 등의 공격에 활용
- hol.es - 다수 서브도메인 사용, WildCommand, MoneyHolic, MyDogs 악성코드, Red Salt 공격에 사용
- esy.es - 다수 서브도메인 사용, WildCommand와 MoneyHolic 간 인프라 설정강화, MyDogs 악성코드, Red Salt 공격에 활용
- 890m.com - 다수 서브도메인 사용, WildCommand, KONNI 그룹의 다양한 공격에 활용
북한 기반 다른 해킹 그룹(APT37/Reaper) 도 해당 도메인 사용 (2019)
ex) hol.es, 890m.com
C. 기반 시설 설정 관련 특징
1) 네이밍
① 크리덴셜 피싱에 활용할 특정 기관, 단체의 이름을 활용
② 한국에서 사용되는 특정 소프트웨어의 이름과 일반, 업무, 사업관련 단어를 조합
③ 순차적 번호를 일반 단어와 조합하여 정식 이메일 서비스, 도메인을 사칭
2) 주로 사용된 C&C 폴더 네이밍
① /Est/up, /Est/down
② /bbs/data/temp
③ /bbs/data
④ /bbs/filter
참고자료
출처 : hxxps://www.pwc.co.uk/issues/cyber-security-data-privacy/research/tracking-kimsuky-north-korea-based-cyber-espionage-group-part-1.html
'Informational' 카테고리의 다른 글
| [2020.04.01] 이슈: ZOOM 개인정보 보호 및 취약한 보안 관련 논쟁 (0) | 2020.04.01 |
|---|---|
| [2019.02.20] 유명 토렌트 업로더 ‘CrackNow’ 악성코드 유포 (0) | 2019.03.21 |
| [2019.02.15] 새로운 변종 Emotet 등장 (0) | 2019.03.20 |
| [2019.02.11] Google, 모바일과 IoT 기기를 겨냥한 새로운 암호화 알고리즘 발표 – Adiantum (0) | 2019.03.20 |
| [2019.01.21] 클라우드 보안 제품 제거 기능이 추가된 변종 Xbash Linux 멀웨어 등장 (0) | 2019.03.19 |