Исследователи обнаружили новую инфраструктуру, связанную с северокорейской угрожающей группой Kimsuky, с характерным «Million OK !!!!». HTTP-ответом и вредоносными доменами, выдающими себя за южнокорейскую платформу Naver.
Kimsuky APT
Исследователь безопасности в Twitter впервые заметил серию IP-адресов, выдающих необычный HTTP-ответ «Million OK !!!!». HTTP-ответа в марте 2024 года. Позже исследователи Hunt обнаружили дополнительную инфраструктуру, использующую тот же ответ, и связали ее с северокорейской APT-группой Kimsuky (отслеживаемой Microsoft как Emerald Sleet). Злоумышленники используют домены, имитирующие страницы входа в систему Naver, с использованием брендинга Naver и фавиконов.
В дополнение к этим наблюдениям, новая активность включает регистрацию в доменах верхнего уровня p-e[.]kr, o-r[.]kr и n-e[.]kr, которые ранее ассоциировались с вредоносными операциями Kimsuky. Хант также обнаружил веб-страницу, которая имела тот же ASN, сертификат TLS, выданный Sectigo, и схожую конфигурацию сервера Apache. Сервер на этой странице отвечал простым сообщением «Привет». Дальнейший анализ выявил связи с электронной почтой владельца регистрации, привязанные к доменам, используемым семействами вредоносных программ KLogEXE и FPSpy, о которых ранее сообщала компания Unit42. Исследователи Hunt отмечают, что Kimsuky исторически нацеливался на южнокорейские платформы, такие как Naver, с помощью фишинговых кампаний, направленных на кражу учетных данных пользователей.
Indicators of Compromise
Domains
- againcheck.site
- checkagain.store
- edoc-send.n-e.kr
- nidauth.r-e.kr
- nidcheck.o-r.kr
- nidcorp.store
- *.againcheck.site
- *.checkagain.store
- *.checkmail.kro.kr
- *.nidcheck.o-r.kr
- *.nidcorp.store
Certificate Hashes
- 393CBD41F14B1C55BDE92A32E10B5D65384E33A97C77F352BD90FDB8FD5D73AE
- 5F2C65E695D85395634E7AB561242425E6EF281CE2E14A0D5C1704ED593CFA5F
- 974E386F8FACFF325EC2F3EBB7439A9A1E4E4C88944D5BEB5C341923DC993556
- 98C85EF91E05593CD470FFE8698AA6D97B36E8B885200BE87080B8C2A135FB9C
- D8A8DDDA6CC12C5533268B20E48E1B636CE9173E9F9B5BB4C832FE00F1B26841