Kimsuky APT IOCs - XXV

Kimsuky - это северокорейская группа АPT, которая действует с 2012 года и занимается сбором разведданных в интересах правительства Северной Кореи. Они специализируются на целевых фишинговых атаках с использованием вредоносных вложений. Группа проявляет особый интерес к южнокорейским аналитическим центрам и правительственным организациям, а также к США, Великобритании и другим европейским странам.

Kimsuky APT

Весной 2024 года Национальное бюро расследований и Федеральное бюро расследований США опубликовали совместный доклад, в котором указали на группу Kimsuky и ее использование неправильно настроенных политик записей DNS Domain-based Message Authentication, Reporting and Conformance (DMARC) для маскировки своих попыток социальной инженерии. Они используют тактику выдавать себя за ученых, журналистов или экспертов из Восточной Азии для противостояния Южной Корее, США и Европе.

В июле 2024 года аналитики Resilience обнаружили ошибку в обеспечении оперативной безопасности, допущенную группой Kimsuky. В результате анализа собранного материала они выяснили, что Kimsuky занимается фишингом сотрудников университетов, исследователей и профессоров для шпионажа в интересах Северной Кореи. Группа стремится украсть результаты исследований и разведданные.

Группа Kimsuky является частью Главного разведывательного бюро Северной Кореи и целиком выступает в интересах северокорейского правительства. В прошлом они пытались получить доступ к секретам в области ядерного оружия, здравоохранения и фармацевтики. Кроме того, они также совершали киберпреступления с финансовыми мотивами, которые, предположительно, финансируют их шпионскую деятельность.

Indicators of Compromise

Domains

audko.store
dorray.site
gkjoiup.site
gkjoiup.store
nlsie.store
nsonlines.store
nusiu.live
osihi.store
simos.online
sorsi.online
wodods.online
wodods.xyz

URLs

http://penlu.or.kr/data/view.php

Kimsuky APT

Indicators of Compromise

Domains

URLs

Emails