Manuel Statik Analiz — Kimsuky APT (Kuzey Kore) | Tehdit: KRITIK
파일 Kimliği
| SHA256 | 56a90f247ccffb6394489b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| 파일 이름 | Shadows of BlackwoodHotel.pdf.lnk |
| 크기 | 94.489 byte (LNK + PS payload) |
| String Sayisi | 405 |
Çift Uzantı LNK Tuzağı
APT Tekniği: Japonya/Korea temalı otel dokümanı PDF kimliği verilerek kurban ikna ediliyor!
Shadows of BlackwoodHotel.pdf.lnk -- "BlackwoodHotel" = Korean/Japanese tematik yem -- ".pdf" görünür uzantı (Windows gizler .lnk) -- .lnk kısayol = PowerShell veya cmd çalıştırır -- Kimsuky'nin tipik spear phishing belgesi
PowerShell Obfuskasyon + VM Tespiti
$FVj4o6gydZ9UUvvO = @(('{0}{1}' -f 'vmxne','t'), $(-join('lckihls'.
-- "{0}{1}" -f format operatörü: 'vmxne'+'t' = 'vmxnet'
-- 'vmxnet' = VMware sanal NIC sürücüsü!
-- $(-join('lckihls'...)) = dizi karıştırma tekniği
-- VM tespiti → analiz ortamında çalışmaz
hex.Su -- .su Soviet Union TLD (eski USSR domain)
Kimsuky Hakkında
Kimsuky (APT43, Emerald Sleet), Kuzey Kore Devlet 신뢰도lik Bakanlığı'na bağlı APT grubudur. 2013'ten beri aktif. Güney Kore hükümeti, nükleer araştırma ve savunma sektörlerini hedefler. COVID dönemi aşı araştırma kurumlarını da hedefleyen spear phishing kampanyaları başlattı.
IOC
| SHA256 | 56a90f247ccffb6394489b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | Shadows of BlackwoodHotel.pdf.lnk (çift uzantı) |
| C2 | hex.Su (.su Soviet Union TLD) |
Kimsuky — 악성코드 프로필
Kimsuky Velvet Chollima 2012 Kuzey Kore APT. Shadows of BlackwoodHotel.pdf.lnk otel spy lure. Guney Kore akademi/hükümet.
악성코드 유형
Backdoor
프로그래밍 언어
PowerShell/VBScript
C2 프로토콜
HTTP
대상 시스템
Guney Kore/NATO
기능 및 동작
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC 목록 (1 개 지표)
IOC — Kimsuky
# DOMAIN
hex.su
| 유형 | 값 | 메모 |
|---|---|---|
| domain | hex.su |
C2 서버 (이 패밀리에 대해 1개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| hex.su | domain | 443 | HTTPS | inactive | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.