Manuel Statik Analiz — Kimsuky APT | Tehdit: YUKSEK
ファイル Kimliği
| SHA256 | 56a90f247ccffb6394489b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| ファイル名 | Shadows of BlackwoodHotel.pdf.lnk |
| Tip | Windows LNK kısayol (çift uzantı: .pdf.lnk) |
| サイズ | 94.489 byte (94KB) |
Casusluk Temalı Otel Lure
APT Grup Modus Operandi: Otel casusluk temalı hedefli spear phishing!
Shadows of BlackwoodHotel.pdf.lnk -- "Shadows of BlackwoodHotel" → otel casusluk teması -- Dark Hotel APT (OceanLotus/DarkHotel) referansı! -- Otel Wi-Fi ağları üzerinden hedef enfeksiyonu senaryosu -- PDF görünümlü LNK dosyası → çift uzantı aldatmacası -- ".pdf" görünür uzantı → ".lnk" asıl uzantı (Windows gizler) -- Yüksek değerli hedef: iş seyahati yapan yöneticiler
Çift Uzantı LNK Tekniği
Shadows of BlackwoodHotel.pdf.lnk -- Windows: "bilinen uzantıları gizle" varsayılan = .lnk gizlenir -- Kullanıcı sadece: "Shadows of BlackwoodHotel.pdf" görür -- PDF ikonuna benzetilmiş LNK → kurban PDF zanneder -- Tıkla → PowerShell/cmd tetiklenir → payload indirilir -- MarkOfTheWeb bypass: email eki olarak gönderilmişse
Kimsuky APT Hakkında
Kimsuky (Velvet Chollima, Black Banshee) 2012'den beri aktif Kuzey Kore APT grubudur. Güney Kore hükümeti, düşünce kuruluşları, nükleer araştırmacılar, akademisyenler ve gazetecileri hedefler. Spear phishing uzmanı, HWP (Hangul) dokümanları da kullanır. Kimchi, AppleSeed, BabyShark implantları dağıtır.
IOC
| SHA256 | 56a90f247ccffb6394489b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Lure | Shadows of BlackwoodHotel.pdf.lnk (çift uzantı) |
| Teknik | LNK dosyası + PDF kılığı + otel casusluk teması |
Kimsuky — マルウェアプロファイル
Kimsuky Velvet Chollima 2012 Kuzey Kore APT. Shadows of BlackwoodHotel.pdf.lnk otel spy lure. Guney Kore akademi/hükümet.
マルウェアの種類
Backdoor
プログラミング言語
PowerShell/VBScript
C2プロトコル
HTTP
標的システム
Guney Kore/NATO
機能と挙動
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOCリスト (1 件の指標)
IOC — Kimsuky
# SHA256
56a90f247ccffb6394489b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| タイプ | 値 | メモ |
|---|---|---|
| sha256 | 56a90f247ccffb6394489b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 | len=63 |
C2サーバー (このファミリーで1台のサーバーを記録)
| アドレス | タイプ | ポート | プロトコル | ステータス | 国 |
|---|---|---|---|---|---|
| hex.su | domain | 443 | HTTPS | inactive | — |
C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。