Piece of dragon's scales
TL;DR kimsuky(a.k.a Thallium) 그룹의 golddragon/braveprince 클러스터를 활용한 공격이 지속되고 있음 최근 golddragon/braveprince 클러스트 악성코드에 API 이름을 인코딩 하는 루틴이 추가됨 문자열들을 기반으로 추가 인텔리전스를 검색으로 오픈소스 RAT 인 Quasar 기반 악성코드가 발견 개요 사실 golddragon/braveprince 클러스터들(개인적으론 daumrat 이라 부른다.) 은 2021년 중순쯤에 싹 정리해서 포스팅 해야겠다 생각하고 있었는데.. 로스트아크 하면서 시간을 보내던 동안 cisco talos 팀에서 잘 정리해 공개해 주었다. 개꿀이지만 덕분에 쓸게 없어졌다. 그래서 이번 포스팅에서는 인텔리전스 서치를 통해 찾은 nam..
GoldDragon & Braveprince & 3389!(Short Article)
잡설 블로그를 1년 동안 방치했다. 일부러 그런 건 아니었다. 그냥 그런 걸로 하자. 이렇게 살면 안 될 것 같아 3년 된 쉰 떡밥에 고명 하나 올려왔다. 주제는 과거 Kaspersky의 @unpacker 님이 공개하셨던 "Kimsuky She is back with Fairy Tale"과 관련된 내용으로 굳이 부제를 붙이자면 "그리고 모두 행복하게 살았답니다.(eng : and they all lived happily ever after)" 정도가 가 될 듯. 악성코드에 대한 모든 내용은 생략되었으니, 이 악성코드가 궁금한 분들은 위의 자료를 참고하시기 바란다. 최근까지 활동 중인 드래곤 왠지 적당히 쓰고 버릴 것 같은 악성코드였는데 오래오래 남아서 활동 중이다. 역시 드래곤이다. GoldDragon/..
[Hwp Malware] kimsuky's love is all around
기존 "KINU 전문가 자문 요청사항" (https://sfkino.tistory.com/75)과 동일한 스타일의 악성코드이다. 하나하나 비교하면서 분석해보자. this malware is the same style with "KINU Expert Advisory Request.hwp" that was released October 2019. Let's analyze it compared to the existing one. Stage 1. Exploit code & shellcode EPS 파일의 /ar 변수에 들어있는 익스플로잇 코드와 쉘코드는 기존과 거의 동일하지만, 기존에는 0x00으로 XOR되어있었고, 이번 케이스에서는 0x91로 인코딩 되어있다. 0x91로 디코딩한뒤 익스플로잇 코드와 쉘코드를..
[Hwp Malware] kimsuky group's attack using hwp malware
hwp 악성코드가 헌팅되었다. 악성코드는 "KINU 전문가 자문 요청사항" 이라는 제목이며 한미동맹/한중관계 등에 대한 질문지로 위장하고있다. Stage 1. EPS & Shellcode BIN0001.EPS 파일은 총 3가지로 구성되어있다. /ar : shellcode & cve-2017-8291 exploit code /ar Decoding Data : /ar ^ key (0x00 ?!?!?!?!?!?) Encoded Malware & Encoded Shellcode /ar의 코드는 exploit code와 쉘코드가 존재한다. 메모리에 로드된 쉘코드가 실행되면 EPS 파일을 읽어와 데이터를 파싱한 후 복호화를 수행한다. structure signatrue (4byte) ; 0x0c790cbe xor ..