APT组织“ Kimsuky”,据悉最早于2012年开始活动。该组织因为全球性的广泛攻击行动而臭名昭著,主要针对韩国智囊团、美国、俄罗斯和欧洲各个国家。 目前,Kimsuky已与多达三种迄今未记录的恶意软件相关联,其中包括一个信息窃取程序,一个配备了恶意软件反分析功能的工具,以及一个新的服务器基础设施(与旧的间谍框架有很大的...
Kimsuky 的版本改变了导出功能,以绕过反病毒检测,并可能区分其行为,足以逃避基于签名的检测。 自定义 RDP 包装器导出功能 使用自定义 RDP 包装器的主要优点是规避检测,因为 RDP 连接通常被视为合法的,允许 Kimsuky 在雷达下停留更长时间。 此外,与通过恶意软件进行 shell 访问相比,它提供了更舒适的基于 gui 的远程...
Kimsuky 是朝鲜半岛上最多产和最活跃的威胁参与者之一,拥有多个小组,而 GoldDragon 是最常见的小组之一。我们已经看到,Kimsuky 组织不断改进其恶意软件感染方案,并采用新技术来阻碍分析。追踪这个群体的主要困难是很难获得完整的感染链。正如我们从这项研究中看...
日本针对朝鲜黑客Kimsuky的攻击行动提出警告 朝鲜黑客组织Kimsuky近期的动作频频,不时传出发动网络攻击的情况,其中有不少是针对韩国而来,但邻近的日本也是被锁定的目标,他们国内企业组织最近传出也遭到这些黑客攻击的消息。7月8日日本计算机紧急应变团队暨协调中心(JPCERT/CC)发布安全公告,表示在今年3月侦测到朝鲜黑...
在Kimsuky组织的GoldDragon小组的新型感染链中,C2服务器扮演着至关重要的角色。它负责接收并处理从感染机器发送过来的敏感信息,同时,它也负责向感染机器发送新的恶意负载或指令。这种结构使得攻击者能够远程操控感染机器,窃取或篡改数据,甚至执行更复杂的攻击行为。2. C2脚本在恶意文档传递中的应用 通过深入分析服务...
据观察,被称为 Kimsuky 的朝鲜间谍活动参与者使用三种不同的 Android 恶意软件来针对韩国某些用户。这是根据韩国网络安全公司 S2W 的调查结果,该公司将恶意软件家族命名为 FastFire、FastViewer 和 FastSpy。 研究人员 Lee Sebin 和 Shin Y...
近期,在美韩联合演习这一背景下,我们监测到大量来自Kimsuky组织的攻击,从攻击样本来看,使用pif、hwp、doc等文件做为诱饵进行初始攻击,后续载荷包括其常使用的AppleSeed、PebbleDash等木马。 概述 近日,奇安信红雨滴团队在日常高价值样本狩猎过程中,捕获到多例Kimsuky组织针对韩国地区的攻击样本。根据红雨滴研究人员跟踪分析...
KimSuky样本分析思路分享 概述 KimSuky是总部位于朝鲜的APT组织,根据卡巴的情报来看,至少2013年就开始活跃至今。该组织专注于针对韩国智囊团以及朝鲜核相关的目标。KimSuky有不少别名,包括Velvet Chollima, Black Banshee, Thallium, Operation Stolen Pencil等。malpedia上有关于KimSuky的详细介绍。
一、团伙背景Kimsuky,别名 Mystery Baby、Baby Coin、Smoke Screen、Black Banshe 等,奇安信内部跟踪编号为 APT-Q-2。该 APT 组织于 2013 年公开披露,攻击活动最早可追溯至 2012 年。Kimsuky 主要攻击目标为韩…
Kimsuky,别名Mystery Baby、Baby Coin、Smoke Screen、Black Banshe等,奇安信内部跟踪编号为APT-Q-2。该APT组织于2013年公开披露,攻击活动最早可追溯至2012年,疑似具有东北亚国家背景。Kimsuky主要攻击目标为韩国,涉及国防、教育、能源、政府、医疗以及智囊团等领域,以机密信息窃取为主。该组织通常使用社会工程学、鱼叉邮...