KimSuki APT IOCS

security IOC

Национальная разведывательная служба Южной Кореи (NIS) и Ведомство по защите конституции Германии (BfV) расследуют деятельность хакерской организации KimSuki (также известной как Thallium, Velvet Thallium, Velvet, Tianlima и т.д.) хакерская организация использовала сервисы браузера и магазина приложений Google для атак на экспертов на Корейском полуострове и в Северной Корее.

Группа KimSuki нацелилась на администраторов порталов и знакомых с помощью spear phishing. spear phishing для кражи информации о счетах специалистов на Корейском полуострове и в Северной Корее, атаки на специалистов на Корейском полуострове и в Северной Корее.

KimSuki использовала взломанные учетные записи для кражи электронной почты, связанной с сайтом портала цели, а также данных, хранящихся в облачных сервисах.
электронные письма, связанные с портальным сайтом цели, а также данные, хранящиеся в облачных сервисах.

Между тем, два из недавно выявленных векторов атаки хакерской группы KimSuki используют расширение Google расширение для веб-браузера и сервис для передачи данных со смартфона на смартфон.

Indicators of Compromise

IPv4

  • 23.106.122.16

Domains

  • gonamod.com
  • lowerp.onlinewebshop.net
  • mc.pzs.kr
  • navernnail.com
  • siekis.com

MD5

  • 012d5ffe697e33d81b9e7447f4aa338b
  • 04bb7e1a0b4f830ed7d1377a394bc717
  • 3458daa0dffdc3fbb5c931f25d7a1ec0
  • 51527624e7921a8157f820eb0ca78e29
  • 582a033da897c967faade386ac30f604
  • 89f97e1d68e274b03bc40f6e06e2ba9a

Technical report

SEC-1275-1
Добавить комментарий