2024 年 3 月,Twitter/X 上的一名安全研究人员观察到一系列 IP 地址和域发出了不寻常的 HTTP 响应:“百万 OK!!!”。随后对基础设施和域的分析将此活动与朝鲜威胁组织 Kimsuky 联系起来。
Hunt 研究人员最近观察到涉及最近注册的域的其他活动返回相同的响应。这些网页使用韩国科技公司 Naver 的网站图标,尽管它们与该公司没有任何关联。域名注册信息表明,该集团正在积极维护和扩展其基础设施。
背景:以 Naver 为目标
朝鲜威胁行为者,尤其是 Kimsuky,一再以 Naver 等韩国平台为目标来窃取凭据。这些活动通常采用网络钓鱼技术,包括伪造的 Naver 登录页面和以技术为主题的域名约定。
2023 年 6 月,韩国国家情报院发现了一个实时复制 Naver 主页的网络钓鱼网站,旨在收集韩国用户的个人数据。去年 10 月,Hunt 发现了一个针对 Naver 用户的网络钓鱼活动,该活动利用了包含旨在窃取凭据的网络钓鱼页面的公开目录。
以下部分重点介绍在最新活动中观察到的域、IP 和基础设施。
技术细节
这个“百万 OK !!!”基础设施集合具有几个值得注意的特征。所有观察到的 IP 都托管在托管在韩国的 UCLOUD Information Technology (HK) Limited ASN 上。
虽然上述术语的确切目的尚不清楚,但它可能作为该组织的恶意基础设施的一个独特标记/占位符,用于验证活动服务器。
表现出的一些独特行为包括:
- 直接 IP 托管:某些 IP 托管一个 Web 服务器,该服务器通常通过端口 80 提供“百万 OK!!”响应,而不解析到任何域。
- 域托管:其他人托管由 Sectigo 颁发的一小群域或 TLS 证书,通常与 Kimsuky 的网络钓鱼活动有关。
- 旧版 Web 服务器堆栈:服务器管理员安装了过时的 Apache Web Server (Win32)、OpenSSL 和 PHP 软件版本。在所有实例中常见的头文件是 Apache/2.4.25 (Win32) OpenSSL/1.0.2j PHP/5.6.30。
以下屏幕截图显示了我们在研究和网站图标期间提供的响应。第一个示例捕获域 nidauth.r-e[.]kr,这可能是为了模仿 Naver 的登录页面,而另一个则显示对 IP 地址的直接请求。
图 1:显示 Million OK 消息和 Naver 网站图标的域。
图 2:向此集合中的多个 IP 发出 HTTP 请求会显示上述内容。
在 Hunt 中搜索“Million OK !!!”
使用 HuntSQL™ Explorer,我们查询了最新的扫描结果,以识别在其 HTTP 响应正文中返回独特文本的服务器。这种方法使我们能够有效地查明与我们的调查相关的 IP。
使用的确切查询如下所示:
复制文本SELECT ip, port, http.body FROM http WHERE http.body == 'Million OK !!!!' GROUP BY\ ip,端口,http.body
此查询从数据集中检索 IP 地址、端口和 HTTP 响应正文,重点关注正文包含确切文本“Million OK!!!”的条目。通过按 IP、端口和响应正文对结果进行分组,我们隔离了此行为的唯一实例,从而删除了重复项并简化了我们的分析。
图 3:在 Hunt 中使用 SQL Explorer 的扫描结果屏幕截图。
最新结果
虽然我们的大部分发现都是在端口 80 上观察到的,但有几个 IP 也打开了端口 443。这些实例镜像相同的 HTTP 响应和网站图标,并包含 TLS 证书。其他详细信息如下所示。
| IP地址 | 解析域 | TLS 证书组织 | 证书公用名中的域 |
|---|---|---|---|
| 118.193.68[.]146 | 不适用 | Sectigo 有限公司 | *.nidcheck.o-r[.]kr *.againcheck[.]网站 |
| 118.194.248[.]148 | 不适用 | 不适用 | 不适用 |
| 123.58.200[.]50 | 不适用 | 不适用 | 不适用 |
| 152.32.138[.]191 | 不适用 | 不适用 | 不适用 |
| 152.32.243[.]153 | 不适用 | Sectigo 有限公司 | *.checkmail.kro[.]kr *.nidcorp[.]存储 *.checkagain[.]商店 |
历史观察
| IP地址 | 解析域 | TLS 证书组织 | 证书公用名中的域 |
|---|---|---|---|
| 118.193.69[.]248 | ozszg[.]顶部 邮件.ozszg[.]返回页首 |
不适用 | 不适用 |
| 123.58.200[.]13 | 不适用 | 不适用 | 不适用 |
| 152.32.243[.]184 | nld.blog-view[.]or.kr | 不适用 | 不适用 |
| 152.32.138[.]63 | 不适用 | 不适用 | 不适用 |
一个简单的 “hello”
在分析显示 Naver 网站图标的服务器时,我们发现了一个托管在 IP 地址 101.36.114 的网页。153 个很突出。服务器没有返回之前观察到的文本,而是以简单的“Hello”消息进行响应 - 对于那些习惯于筛选 Internet 扫描数据的人来说,这是一个熟悉的景象。
使这个特定项目有趣的是,除了网站图标之外,它还共享相同的 ASN、Sectigo 颁发的 TLS 证书和类似的 Apache 服务器配置,尽管软件版本不同。
使用 IP 概述页面中 Hunt 的 Port History 选项卡,我们可以看到捕获的“Hello”响应以及 HTTP 标头。
图 4:显示“Hello”HTTP 响应 (Hunt
)
与此服务器关联的 TLS 证书将进一步的上下文添加到其与已识别模式的连接中。证书的公用名 (CN) edoc-send.n-e[.]kr(SHA256: 3a6640efbfbd42efbfbd21d5bcefbfbd68023a74d19848efbfbd167b7aefbfbd0573efbfbd)反映了 n-e.kr TLD 在网络钓鱼和 C2 基础设施中的频繁使用,通常与 Kimsuky 有关。
![101.36.114[.]153 的历史 TLS 记录截图](https://apthub.top/wp-content/uploads/2025/01/figure_5_screenshot_of_the_historical_tls_records_for_101_36_114_153_hunt__3x.webp)
图 5:101.36.114 的历史 TLS 记录截图。153(亨特)。
对证书域的进一步检查显示,注册人的电子邮件地址为 cfa4a551515dc742s@gmail[.]com 的。正如 Unit 42 在 9 月份报告的那样,这封电子邮件与恶意软件家族使用的两个域 KLogEXE 和 FPSpy 相关联。
图 6:显示注册人电子邮件链接的屏幕截图(来源:Unit 42)。
有关更多详细信息,请参阅原始博客文章“揭开 Sparkling Pisces 的工具集:KLogEXE 和 FPSpy”。
结论
本博客中讨论的基础设施中出现了一致的模式,包括 Sectigo 颁发的 TLS 证书、Apache 服务器配置、特定 TLD 的使用以及对 Naver 相关定位的关注。
位于 101.36.114[.] 的不同 HTTP 响应。153 导致在证书的通用名称中发现了一个通配符域,该域与 Unit42 之前报告的注册人电子邮件地址相关联。
SQL Explorer 使分析师能够识别和监控可疑基础设施,而无需依赖恶意软件样本或活跃的网络钓鱼页面。概述这些反复出现的模式和基础设施特征为防御者提供了宝贵的背景信息,以监控对手的活动并了解他们的操作方法。
证书哈希
- *.nidcheck.or[.]kr - 393CBD41F14B1C55BDE92A32E10B5D65384E33A97C77F352BD90FDB8FD5D73AE
- *.againcheck[.]场地 - 5F2C65E695D85395634E7AB561242425E6EF281CE2E14A0D5C1704ED593CFA5F
- *.checkmail.kro[.]kr - 98C85EF91E05593CD470FFE8698AA6D97B36E8B885200BE87080B8C2A135FB9C
- *.nidcorp[.]商店 - D8A8DDDA6CC12C5533268B20E48E1B636CE9173E9F9B5BB4C832FE00F1B26841
- *.checkagain[.]商店 - 974E386F8FACFF325EC2F3EBB7439A9A1E4E4C88944D5BEB5C341923DC993556
-390x220.png)
