【安全资讯】朝鲜网络间谍组织Kimsuky基础设施分析

安恒情报中心 2020-02-20 03:46:17 2065人浏览
PwC研究人员最近分析了间谍组织"Kimsuky"(被PwC内部称为Black Banshee)的活动。在2019年,该组织发起了多个并行的网络间谍活动,从大规模凭证收集到针对性网络间谍和渗透活动。2018年8月,研究人员观察到该组织注册了大量仿冒政府,学术界和政策部门组织的域名,以方便进行鱼叉式钓鱼和凭据收集活动。在其大多数活动中,C2服务器都解析为以下范围内地址:185.224.137[.]0/23和185.224.138[.]0/23。地址185.224.137[.]164自2018年12月至2020年1月一直用于为该组织使用的至少24个恶意域提供解析。其中恶意域kakao-check[.]esy[.]es用于被命名为MyDogs(被认为是"Kimsuky"独有的)的恶意软件的C2。其使用的某些域和某些文件路径命名与组织APT37关联到一起。
失陷指标(IOC)9
APT APT情报 Kimsuky 鱼叉式网络钓鱼 科研院校 部委级单位 政党组织 省市级单位 事业单位
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。