Manuel Statik Analiz — Kimsuky APT (Kuzey Kore) | Tehdit: KRITIK

Datei Kimliği

SHA25656a90f247ccffb6394489b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
DateinameShadows of BlackwoodHotel.pdf.lnk
Größe94.489 byte (LNK + PS payload)
String Sayisi405

Çift Uzantı LNK Tuzağı

APT Tekniği: Japonya/Korea temalı otel dokümanı PDF kimliği verilerek kurban ikna ediliyor!
Shadows of BlackwoodHotel.pdf.lnk
-- "BlackwoodHotel" = Korean/Japanese tematik yem
-- ".pdf" görünür uzantı (Windows gizler .lnk)
-- .lnk kısayol = PowerShell veya cmd çalıştırır
-- Kimsuky'nin tipik spear phishing belgesi

PowerShell Obfuskasyon + VM Tespiti

$FVj4o6gydZ9UUvvO = @(('{0}{1}' -f 'vmxne','t'), $(-join('lckihls'.
-- "{0}{1}" -f format operatörü: 'vmxne'+'t' = 'vmxnet'
-- 'vmxnet' = VMware sanal NIC sürücüsü!
-- $(-join('lckihls'...)) = dizi karıştırma tekniği
-- VM tespiti → analiz ortamında çalışmaz
hex.Su  -- .su Soviet Union TLD (eski USSR domain)

Kimsuky Hakkında

Kimsuky (APT43, Emerald Sleet), Kuzey Kore Devlet Konfidenzlik Bakanlığı'na bağlı APT grubudur. 2013'ten beri aktif. Güney Kore hükümeti, nükleer araştırma ve savunma sektörlerini hedefler. COVID dönemi aşı araştırma kurumlarını da hedefleyen spear phishing kampanyaları başlattı.

IOC

SHA25656a90f247ccffb6394489b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
LureShadows of BlackwoodHotel.pdf.lnk (çift uzantı)
C2hex.Su (.su Soviet Union TLD)

Kimsuky — Malware-Profil

Kimsuky Velvet Chollima 2012 Kuzey Kore APT. Shadows of BlackwoodHotel.pdf.lnk otel spy lure. Guney Kore akademi/hükümet.

Malware-Typ
Backdoor
Programmiersprache
PowerShell/VBScript
C2-Protokoll
HTTP
Zielsysteme
Guney Kore/NATO

Fähigkeiten & Verhalten

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC-Liste (1 Indikatoren)

IOC — Kimsuky
# DOMAIN hex.su
TypWertBemerkung
domain hex.su

C2-Server (1 erfasste Server für diese Familie)

Adresse Typ Port Protokoll Status Land
hex.su domain 443 HTTPS inactive —

C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.

Tags
kimsukynorth-korea-aptblackwoodhotel-pdf-lnkdouble-extensionps-obfuscationvmxnet-vm-detectsu-tld