Manuel Statik Analiz — Kimsuky APT (Kuzey Kore) | Tehdit: KRITIK
ファイル Kimliği
| SHA256 | 56a90f247ccffb6394489b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| ファイル名 | Shadows of BlackwoodHotel.pdf.lnk |
| サイズ | 94.489 byte (LNK + PS payload) |
| String Sayisi | 405 |
Çift Uzantı LNK Tuzağı
APT Tekniği: Japonya/Korea temalı otel dokümanı PDF kimliği verilerek kurban ikna ediliyor!
Shadows of BlackwoodHotel.pdf.lnk -- "BlackwoodHotel" = Korean/Japanese tematik yem -- ".pdf" görünür uzantı (Windows gizler .lnk) -- .lnk kısayol = PowerShell veya cmd çalıştırır -- Kimsuky'nin tipik spear phishing belgesi
PowerShell Obfuskasyon + VM Tespiti
$FVj4o6gydZ9UUvvO = @(('{0}{1}' -f 'vmxne','t'), $(-join('lckihls'.
-- "{0}{1}" -f format operatörü: 'vmxne'+'t' = 'vmxnet'
-- 'vmxnet' = VMware sanal NIC sürücüsü!
-- $(-join('lckihls'...)) = dizi karıştırma tekniği
-- VM tespiti → analiz ortamında çalışmaz
hex.Su -- .su Soviet Union TLD (eski USSR domain)
Kimsuky Hakkında
Kimsuky (APT43, Emerald Sleet), Kuzey Kore Devlet 信頼度lik Bakanlığı'na bağlı APT grubudur. 2013'ten beri aktif. Güney Kore hükümeti, nükleer araştırma ve savunma sektörlerini hedefler. COVID dönemi aşı araştırma kurumlarını da hedefleyen spear phishing kampanyaları başlattı.
IOC
| SHA256 | 56a90f247ccffb6394489b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | Shadows of BlackwoodHotel.pdf.lnk (çift uzantı) |
| C2 | hex.Su (.su Soviet Union TLD) |
Kimsuky — マルウェアプロファイル
Kimsuky Velvet Chollima 2012 Kuzey Kore APT. Shadows of BlackwoodHotel.pdf.lnk otel spy lure. Guney Kore akademi/hükümet.
マルウェアの種類
Backdoor
プログラミング言語
PowerShell/VBScript
C2プロトコル
HTTP
標的システム
Guney Kore/NATO
機能と挙動
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOCリスト (1 件の指標)
IOC — Kimsuky
# DOMAIN
hex.su
| タイプ | 値 | メモ |
|---|---|---|
| domain | hex.su |
C2サーバー (このファミリーで1台のサーバーを記録)
| アドレス | タイプ | ポート | プロトコル | ステータス | 国 |
|---|---|---|---|---|---|
| hex.su | domain | 443 | HTTPS | inactive | — |
C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。