Kimsuky APT IOCs - Part 10

security IOC
Опубликовано

Деятельность группы Kimsuky в апреле 2023 года показала спад по сравнению с их деятельностью в марте, сократившись вдвое по сравнению с предыдущим месяцем. Корейские домены использовались для FlowerPower, как и раньше, без существенных изменений, а тип RandomQuery также остался прежним.


Наконец, ASEC подтвердили, что домен, ответственный за распространение AppleSeed, занимался распространял скрипт настройки удаленного рабочего стола Google Chrome. Кроме того, файл дроппера и AppleSeed использовались разные значения аргументов, что является отходом от обычного метода использования одинаковых.

В последнее время в группе наблюдаются различные изменения, при этом она демонстрирует снижение количества активности, что позволяет нам предположить, что в настоящее время ведется серьезная подготовка.

Indicators of Compromise

Domains

  • clear.worksheet.n-e.kr
  • coef.getenjoyment.net
  • funny.storie2.r-e.kr
  • grghergoij.getenjoyment.net
  • metasa2.getenjoyment.net
  • qwsx.blog.korea
  • qwsx.xn--2i0b10rqve.xn--3e0b707e

URLs

  • http://greenspace1.com/gnuboard4/bbs/png/main.php?query=[RandomNumber]
  • http://greenspace1.com/gnuboard4/bbs/png/stdio.php?idx=[RandomNumber]
  • http://ibsq.co.kr/m.layouts/demo.tx
  • http://usn.drctech.kr/motel2/plugin/new/test/main.php?query=[RandomNumber]
  • http://usn.drctech.kr/motel2/plugin/new/test/stdio.php?idx=[RandomNumber]
  • http://www.mowu119.com/skin/shop/basic/jhstyle/lib.php?idx=[RandomNumber]
  • http://www.mowu119.com/skin/shop/basic/jhstyle/list.php?query=[RandomNumber]

MD5

  • 00dbf10c3103ed95f6abe0f98b2384f7
  • 1a7098ee5571a5fa928eb517a56740eb
  • 1ff29b06dc80eae0f3583c965bbdfe92
  • 34c58ac8f0f780512b7165697fc693fa
  • 433a2a49a84545f23a038f3584f28b4a
  • 5f88da72abdbd23da4df12385f26eb99
  • 6158c202a1005f0ef64b3a9ac85c4950
  • 6b017dcaaba40712b74fadaa5cbc94c9
  • 6d788bc0be3f8f271de503cfc8bf5928
  • 7bfba6a51c9193ac142eab8c2c180470
  • 7fced6cd5c31375fdf4bf3ad9a24e5a8
  • 84b18f77cf556c31582c96fde60cad34
  • 8867e234ed6e619c38198f1576ea9438
  • 955170427d0c4f9c23f7b8507a6003aa
  • b29de686362ea0d2d1b768e2e4438a91
  • b5fa9fc4ce170ae200c6ff9b568cf967
  • bc1c1013568bf6deed4aa4af00536b47
  • c3026118c6ec57ef62b627b4a3ce0c31
  • e3fe5030ffa123fe6bebe6cb73e3949e

Technical reports

Похожие записи:
  1. Kimsuky APT IOCs
  2. Kimsuky APT IOCs - Part 2
  3. Kimsuky APT IOCs - Part 3
  4. Kimsuky APT IOCs - Part 4
  5. Kimsuky APT IOCS - Part 5
AppleSeed APT FlowerPower Kimsuky RandomQuery
Добавить комментарий