얼마 전, Kimsuky 그룹이 한국 공공 기관을 사칭한 형태로 악성코드를 유포하는 것이 확인되었다. 해당 유포와 관련하여 안랩측에서 보고서를 작성해 공개하기도 하였으며 위협 지표를 공유하는 사이트에 관련 지표들이 공유되기도 하였다.
https://asec.ahnlab.com/ko/62117/
관련해서 개인적으로 운영하고 있는 MISP(Malware Information Sharing Platform) 서버에 타 이벤트와 관련된 지표가 있을지 궁금해서 지표를 엮어봤는데 아래와 같이 관련 지표가 나타났다.
관련 지표는 210[.]16[.]120[.]210 의 IP 주소이다. 최초로 발견된 것은 2023년 12월 30일인 것으로 보여지며 2024년 02월 19일에 나타난 공격에도 사용되었던 것으로 보여진다.
해당 IP는 싱가폴의 IP인 것으로 보여지며 VirusTotal에서 관련된 정보를 찾아보니 BianLian 랜섬웨어와도 연관이 되었었던 것으로 나타났다.
현재 접속은 불가능하지만 BianLian 랜섬웨어 그룹이 공격에 사용했던 서버와 Kimsuky 그룹이 공격에 사용했던 서버가 겹치는 점이 흥미롭다. 두 그룹의 연관성이 있다기보다는 해당 서버가 매우 취약하여 재활용된 것은 아닌가 생각된다.
반응형
'Analysis' 카테고리의 다른 글
70. North Korea's Phishing mail program (메일전송 프로그람 ver10.0) (0) | 2024.04.23 |
---|---|
69. Kimsuky's lnk malware attack method (0) | 2024.04.15 |
67. Xworm V5.2 (0) | 2024.02.29 |
66. BianLian ransomware (0) | 2024.02.06 |
65. Kimsuky's 트레이딩 스파르타코스 강의안-100불남(2차) (0) | 2024.01.23 |