Kimsuky 그룹, ADS를 활용하여 악성코드 은폐 Posted By Vanish , 2023년 3월 24일 AhnLab Security Emergency response Center(ASEC)에서는 Kimsuky 그룹이 악성코드를 은폐하는데 ADS(Alternate Data Stream)를 활용하는 것을 확인했다. 해당 악성코드는 HTML 파일 내부에 포함된 VBScript를 시작으로 정보를 수집하는 Infostealer 유형이며 수많은 더미 코드 사이에 실제 코드가 포함된 것이 특징이다. 터미널에서 아래와 같은 명령어를 실행하여 정보를 수집하고 전송한다. hostname systeminfo net user query user route print ipconfig /all arp -a netstat -ano tasklist tasklist /svc cmd.exe” /c dir “C:\Program Files“ cmd.exe” /c dir “C:\Program Files (x86)” cmd.exe” /c dir “C:\ProgramData\Microsoft\Windows\Start Menu\Programs” cmd.exe” /c dir “C:\Users\Unknown\AppData\Roaming\Microsoft\Windows\Recent”…
