Kimsuky APT IOCs - Part 28

security IOC

Исследователи обнаружили новую инфраструктуру, связанную с северокорейской угрожающей группой Kimsuky, с характерным «Million OK !!!!». HTTP-ответом и вредоносными доменами, выдающими себя за южнокорейскую платформу Naver.

Kimsuky APT

Исследователь безопасности в Twitter впервые заметил серию IP-адресов, выдающих необычный HTTP-ответ «Million OK !!!!». HTTP-ответа в марте 2024 года. Позже исследователи Hunt обнаружили дополнительную инфраструктуру, использующую тот же ответ, и связали ее с северокорейской APT-группой Kimsuky (отслеживаемой Microsoft как Emerald Sleet). Злоумышленники используют домены, имитирующие страницы входа в систему Naver, с использованием брендинга Naver и фавиконов.

В дополнение к этим наблюдениям, новая активность включает регистрацию в доменах верхнего уровня p-e[.]kr, o-r[.]kr и n-e[.]kr, которые ранее ассоциировались с вредоносными операциями Kimsuky. Хант также обнаружил веб-страницу, которая имела тот же ASN, сертификат TLS, выданный Sectigo, и схожую конфигурацию сервера Apache. Сервер на этой странице отвечал простым сообщением «Привет». Дальнейший анализ выявил связи с электронной почтой владельца регистрации, привязанные к доменам, используемым семействами вредоносных программ KLogEXE и FPSpy, о которых ранее сообщала компания Unit42. Исследователи Hunt отмечают, что Kimsuky исторически нацеливался на южнокорейские платформы, такие как Naver, с помощью фишинговых кампаний, направленных на кражу учетных данных пользователей.

Indicators of Compromise

Domains

  • againcheck.site
  • checkagain.store
  • edoc-send.n-e.kr
  • nidauth.r-e.kr
  • nidcheck.o-r.kr
  • nidcorp.store
  • *.againcheck.site
  • *.checkagain.store
  • *.checkmail.kro.kr
  • *.nidcheck.o-r.kr
  • *.nidcorp.store

Certificate Hashes

  • 393CBD41F14B1C55BDE92A32E10B5D65384E33A97C77F352BD90FDB8FD5D73AE
  • 5F2C65E695D85395634E7AB561242425E6EF281CE2E14A0D5C1704ED593CFA5F
  • 974E386F8FACFF325EC2F3EBB7439A9A1E4E4C88944D5BEB5C341923DC993556
  • 98C85EF91E05593CD470FFE8698AA6D97B36E8B885200BE87080B8C2A135FB9C
  • D8A8DDDA6CC12C5533268B20E48E1B636CE9173E9F9B5BB4C832FE00F1B26841
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий