【安全资讯】朝鲜网络间谍组织Kimsuky基础设施分析

PwC研究人员最近分析了间谍组织"Kimsuky"(被PwC内部称为Black Banshee)的活动。在2019年，该组织发起了多个并行的网络间谍活动，从大规模凭证收集到针对性网络间谍和渗透活动。2018年8月，研究人员观察到该组织注册了大量仿冒政府，学术界和政策部门组织的域名，以方便进行鱼叉式钓鱼和凭据收集活动。在其大多数活动中，C2服务器都解析为以下范围内地址：185.224.137[.]0/23和185.224.138[.]0/23。地址185.224.137[.]164自2018年12月至2020年1月一直用于为该组织使用的至少24个恶意域提供解析。其中恶意域kakao-check[.]esy[.]es用于被命名为MyDogs(被认为是"Kimsuky"独有的)的恶意软件的C2。其使用的某些域和某些文件路径命名与组织APT37关联到一起。