Kimsuky APT IOCs - Part 7

security IOC
Опубликовано

Деятельность группы Kimsuky в марте 2023 года показала снижение по сравнению с их деятельностью в феврале.


В отличие от прошлых лет, когда большинство основных проблем было обнаружено в типе FlowerPower, в этом месяце внимание было сосредоточился на типе RandomQuery, который показал наибольшую активность.

Тип FlowerPower начал использовать "корейские домены", и было подтверждено, что тип тип RandomQuery использовал различные методы первоначального распространения и новые способы для распространения xRAT. Наконец, было подтверждено, что система типа RandomQuery менялась, как и система типа FlowerPower как и у типа FlowerPower

Indicators of Compromise

IPv4

  • 1.234.41.14
  • 115.21.139.222
  • 121.160.252.1
  • 169.254.100.95
  • 211.115.73.132
  • 47.103.206.233

Domains

  • febro.myartsonline.com
  • kakacorpnet.myartsonline.com
  • mpevalr.ria.monster
  • mvix.xn--oi2b61z32a.xn--3e0b707e
  • nideso.mywebcommunity.org
  • oivs.xn--2i0b10rqve.xn--3e0b707e
  • pcloud.myartsonline.com
  • peosljeos.scienceontheweb.net
  • publiccreation.getenjoyment.net
  • realtime.mypressonline.com
  • smart.com-coffee.click
  • thissiteerverarg.medianewsonline.com
  • thrhtsgdsfg.medianewsonline.com
  • xn--lg3b741c.xn--h32bi4v.xn--3e0b707e
  • xortes.000webhostapp.com

URLs

  • http://dhct.co.kr/mobile/skin/visit/basic/goal/lib.php?idx=[RandomNumber]
  • http://dhct.co.kr/mobile/skin/visit/basic/goal/list.php?query=[RandomNumber]
  • http://eum-it.co.kr/gnuboard4/bbs/img/upload1/lib.php?idx=[RandomNumber]
  • http://eum-it.co.kr/gnuboard4/bbs/img/upload1/list.php?query=[RandomNumber]
  • http://haebyeong.com/modules/trash/conf/demo.txt
  • http://ibsq.co.kr/config/demo.txt
  • http://partybbq.co.kr/src/bbs/img/cop/updown/lib.php?idx=[RandomNumber]
  • http://partybbq.co.kr/src/bbs/img/cop/updown/list.php?query=[RandomNumber]
  • http://partybbq.co.kr/src/bbs/img/goal/updown/lib.php?idx=[RandomNumber]
  • http://partybbq.co.kr/src/bbs/img/goal/updown/list.php?query=[RandomNumber]
  • http://uljincablecar.com/mobile/skin/member/basic/download/lib.php?idx=[RandomNumber]
  • http://uljincablecar.com/mobile/skin/member/basic/download/list.php?query=[RandomNumber]
  • http://okas.kr/gnuboard4/adm/aaa.dat

MD5

  • 02b6fa59f889cabf36a7ca2a69a7be86
  • 05e9f932bf0bba8ed0c12194e89ec899
  • 071f39b1884d2214204aa3d61a170c3e
  • 0a6f0d8a277d93303b1d2d8afb2d3323
  • 0f7cc24438e0ad3815b19c0c031d87f9
  • 249e111ad3aa659b89e14147f708812c
  • 283d238d309667734d0e5dc33ee7e647
  • 2c69d81ca8d01f082ae2489e3975a0a2
  • 313d77caaa199188530b15d5bf59a51f
  • 3332170ee3c8df42df9ad656d0d0038c
  • 3c687fb0a1921a53f9c607938f25fdd1
  • 3cb38651abffd4624e3a2983b886d869
  • 3ce601bf7fefdd325e596ccb4aacaf93
  • 3e167be30e343c723fcc42b6f763de69
  • 4103d0b42dd6230dc1062156356f1d9b
  • 46c7c3d128be033d92a7ae75464ade79
  • 4a977d0c8b3d9eaa644a3ae93f3d224f
  • 56e9f5ccebd7252e695b74a9ada18c6f
  • 5939bb4cb87344eb0bdbf0ebbc998d8a
  • 610dea8394f486102fc51a2f0560b28a
  • 63b3b94cd606b5c3be5f5b40a9781ca5
  • 66a249025ab5e39debcb1c141ef1fd25
  • 67fc30944a5db08defa3a5d09f731746
  • 6c67341b2873ef27bdbfe3e2ad0a8b56
  • 6fe432e9d8c70391e9b6cd3e074b0760
  • 726af41024d06df195784ae88f2849e4
  • 7903d922e89d872c9f2c00c7a10fef3d
  • 7d40fd8e68a5b0f0125d9711fb26b6a3
  • 804371c4a0dd4fd8aba732d202f140ab
  • 858907d12008a093e40c501d892a5e90
  • 86028bbad6c09f8697d2f5da87d5fd06
  • 864d6e847d3034c01901d378c59dff93
  • 8a8ab44759d17b9058168e69274389c1
  • 8f411a46490016ac5d126b83cee65022
  • 923e117de7b4c115c97410babc104240
  • 93476273ce03da710d25de7da1924603
  • 93bc23b9e082c97edd8f78d76672bb0d
  • 954b021e7cc0ff404bdbd57a26509a61
  • 976f6bb98e116da2bfd8f283058bcd14
  • 9d8c438b710b314b2dc2e003b2f177b7
  • 9e3d8f0b174f717f0291daab6fd090aa
  • aa756b20170aa0869d6f5d5b5f1b7c37
  • ac999462b9a7b1a81307b5386adb9128
  • aca61a168d95c5f72b8e02650f727000
  • ace6ca3fbc585c4ebb67dadccb79980e
  • b0d7ff7323a0a2ccd0424fac906f0be0
  • b7c2a9774bd25b36f89417a7bb4bb3d2
  • c623dbe17f278fd3a72c5681102a74d8
  • d382cc7f10fdaec150184941b68cf39e
  • d4bb07f5a9462612cd0e8a9290e27fc8
  • d68d3782a74e471f27d6ad18bfb8eaaa
  • d8c1abfb0a0b34e4338ad8dfbd6d95fa
  • da33f76de05aa4a97bda5a91d7272f28
  • ded83a6bd7438b34b058f2fe5ee54c7e
  • e0cf0881de0fe35732bb02c1f4df02a3
  • e17b91341ea079d23e9703e55d37dd44
  • ef3211c7567fa7a5b8944d7beeef2869
  • f2a0e92b80928830704a00c91df87644

Technical report

Похожие записи:

  1. Kimsuky APT IOCs
  2. Kimsuky APT IOCs - Part 3
  3. Kimsuky APT IOCs - Part 4
  4. Фишинговые атаки, выдающие себя за известные корейские банковские приложения
  5. Вредоносная программа, замаскированная под письмо с предложением рукописи (нацелена на работников, занимающихся вопросами безопасности)
APT ASEC Kimsuky
Добавить комментарий