Manuel Statik Analiz — Kimsuky APT | Tehdit: YUKSEK

파일 Kimliği

SHA25656a90f247ccffb6394489b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
파일 이름Shadows of BlackwoodHotel.pdf.lnk
TipWindows LNK kısayol (çift uzantı: .pdf.lnk)
크기94.489 byte (94KB)

Casusluk Temalı Otel Lure

APT Grup Modus Operandi: Otel casusluk temalı hedefli spear phishing!
Shadows of BlackwoodHotel.pdf.lnk
-- "Shadows of BlackwoodHotel" → otel casusluk teması
-- Dark Hotel APT (OceanLotus/DarkHotel) referansı!
-- Otel Wi-Fi ağları üzerinden hedef enfeksiyonu senaryosu
-- PDF görünümlü LNK dosyası → çift uzantı aldatmacası
-- ".pdf" görünür uzantı → ".lnk" asıl uzantı (Windows gizler)
-- Yüksek değerli hedef: iş seyahati yapan yöneticiler

Çift Uzantı LNK Tekniği

Shadows of BlackwoodHotel.pdf.lnk
-- Windows: "bilinen uzantıları gizle" varsayılan = .lnk gizlenir
-- Kullanıcı sadece: "Shadows of BlackwoodHotel.pdf" görür
-- PDF ikonuna benzetilmiş LNK → kurban PDF zanneder
-- Tıkla → PowerShell/cmd tetiklenir → payload indirilir
-- MarkOfTheWeb bypass: email eki olarak gönderilmişse

Kimsuky APT Hakkında

Kimsuky (Velvet Chollima, Black Banshee) 2012'den beri aktif Kuzey Kore APT grubudur. Güney Kore hükümeti, düşünce kuruluşları, nükleer araştırmacılar, akademisyenler ve gazetecileri hedefler. Spear phishing uzmanı, HWP (Hangul) dokümanları da kullanır. Kimchi, AppleSeed, BabyShark implantları dağıtır.

IOC

SHA25656a90f247ccffb6394489b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
LureShadows of BlackwoodHotel.pdf.lnk (çift uzantı)
TeknikLNK dosyası + PDF kılığı + otel casusluk teması

Kimsuky — 악성코드 프로필

Kimsuky Velvet Chollima 2012 Kuzey Kore APT. Shadows of BlackwoodHotel.pdf.lnk otel spy lure. Guney Kore akademi/hükümet.

악성코드 유형
Backdoor
프로그래밍 언어
PowerShell/VBScript
C2 프로토콜
HTTP
대상 시스템
Guney Kore/NATO

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC 목록 (1 개 지표)

IOC — Kimsuky
# SHA256 56a90f247ccffb6394489b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
유형메모
sha256 56a90f247ccffb6394489b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 len=63

C2 서버 (이 패밀리에 대해 1개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
hex.su domain 443 HTTPS inactive —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
kimsukyapt-lazarusshadows-blackwoodhotel-pdf-lnkdouble-extension-lnkhotel-espionage-luredarkhotel-themespear-phishing-lnk