Kimsuky 그룹, ADS를 활용하여 악성코드 은폐 - ASEC BLOG 관련 IOC 3개 발견
김스키 그룹은 악성 코드를 숨기기 위해 ADS를 사용하는 것으로 확인되었습니다. 이 악성 코드는 VBScript를 사용하여 정보 스티커 유형을 실행합니다. 호스트 이름, systeminfo, net user, query user, route print, ipconfig / all, arp-a, netstat-ano, tasklist, tasklist / svc 및 dir 명령을 사용하여 정보를 수집하고 전송합니다. 또한, HEX 인코딩 된 데이터를 디코딩하고 "C : \ ProgramData \ Uso2"에 “.Uso2Config.conf” 파일로 저장합니다. 이 기술은 이전 Magniber 랜섬웨어에서 사용되었으며, 공격 기술을 변경하는 예로서 사용자들에게 특별한 주의가 필요합니다.
Ahnlab
Kimsuky Group is using ADS to hide malicious codes - ASEC BLOG.
Kimsuky group has been identified to use ADS to hide malicious codes that are info stealer types run with VBScript. The malicious code collects and transmits information by using hostname, systeminfo, net user, query user, route print, ipconfig/all, arp-a, netstat-ano, tasklist, tasklist/svc and dir commands. Additionally, it decodes HEX encoded data and saves it as a “.Uso2Config.conf” file in “C:\ProgramData\Uso2”. This technique was used in the past Magniber ransomware, and is an example of changing attack techniques which require special attention from users.
https://asec.ahnlab.com/ko/50394/