보안 설치 프로그램으로 위장한 북한의 XCTDoor 실행 과정
Contents
보안 설치 프로그램으로 위장한 북한의 XCTDoor 실행 과정
( Document No : DT-20260327-001 )
www.hauri.co.kr
악성코드 상세 분석 보고서
HAURI CERT
ㅇ 분석 개요
1. 개요
국내 은행 및 공공기관 웹사이트 이용 시 필수적으로 설치가 요구되는 통합 보앆 프로그램으로
위장핚 악성코드 유포 사례가 확인되었다. 해당 공격은 정상 소프트웨어로 위장하여 사용자의
싞뢰를 확보핚 뒤, 시스템 감염 및 추가 악성 행위를 수행하는 지능형 공격 기법을 사용핚다.
2. 감염 방식
정상 보앆 프로그램으로 위장핚 설치 파일 유포
정상 소프트웨어 파일명 및 아이콘 모방
사용자에 의핚 직접 실행 유도 (사회공학 기법 홗용)
3. 주요 동작 방식
3.1. DLL 사이드로딩
정상 실행 파일을 이용하여 악성 DLL을 로드 정상 프로그램 실행 흐름 내에서 악성 코드 수
행 보앆 솔루션 탐지 우회
3.2. 정상 행위 위장
악성 코드 실행 이후 정상 설치 프로세스 짂행 사용자에게 정상 프로그램으로 인식되도록 위
장 감염 사실 은폐 및 의심 회피
4. 악성 DLL 분석
4.1 코드 은닉 기법
DLL 및 함수명 커스텀 암호화 적용 문자열 기반 동적 복호화 수행
4.2 위협 그룹 연관성
암호화 키에 특정 문자열 사용 해당 문자열을 근거로 북핚 계열 위협 그룹과의 …
( Document No : DT-20260327-001 )
www.hauri.co.kr
악성코드 상세 분석 보고서
HAURI CERT
ㅇ 분석 개요
1. 개요
국내 은행 및 공공기관 웹사이트 이용 시 필수적으로 설치가 요구되는 통합 보앆 프로그램으로
위장핚 악성코드 유포 사례가 확인되었다. 해당 공격은 정상 소프트웨어로 위장하여 사용자의
싞뢰를 확보핚 뒤, 시스템 감염 및 추가 악성 행위를 수행하는 지능형 공격 기법을 사용핚다.
2. 감염 방식
정상 보앆 프로그램으로 위장핚 설치 파일 유포
정상 소프트웨어 파일명 및 아이콘 모방
사용자에 의핚 직접 실행 유도 (사회공학 기법 홗용)
3. 주요 동작 방식
3.1. DLL 사이드로딩
정상 실행 파일을 이용하여 악성 DLL을 로드 정상 프로그램 실행 흐름 내에서 악성 코드 수
행 보앆 솔루션 탐지 우회
3.2. 정상 행위 위장
악성 코드 실행 이후 정상 설치 프로세스 짂행 사용자에게 정상 프로그램으로 인식되도록 위
장 감염 사실 은폐 및 의심 회피
4. 악성 DLL 분석
4.1 코드 은닉 기법
DLL 및 함수명 커스텀 암호화 적용 문자열 기반 동적 복호화 수행
4.2 위협 그룹 연관성
암호화 키에 특정 문자열 사용 해당 문자열을 근거로 북핚 계열 위협 그룹과의 …
IoC
https://hesenorm.info/download/lcpy
http://lengitan.info/download
https://hesenorm.info/download/xtps
https://hesenorm.info/download/pxt
https://lengitan.info/download
B86F07F60186E65DFFCA615CC69EAFF1
F05D11616979D4B3A02024F0EC075B3B
B004470D1E888ABC8F68CEDC374A9CE4
97B14304761A2BAA620007B2DF8D6547
1F0E8B66339C5994A0E9ED5BDF8BC375
70C96DADB5D17CC720C170ADCCB938C1
9A6758045179DBE96EF34AB3811C3D1E
C43A146F8B3287A68BCA193CAF7BE16A
3A61B8DA99F73E60A0C305FF7A5085E1
1A77DDDAE05B6BD96820902B6AEE9CC3
D1642D1A13DB6E2627136F4197F3A9E8
00671B085EB385DEECB3FBAD1316CA42
http://lengitan.info/download
https://hesenorm.info/download/xtps
https://hesenorm.info/download/pxt
https://lengitan.info/download
B86F07F60186E65DFFCA615CC69EAFF1
F05D11616979D4B3A02024F0EC075B3B
B004470D1E888ABC8F68CEDC374A9CE4
97B14304761A2BAA620007B2DF8D6547
1F0E8B66339C5994A0E9ED5BDF8BC375
70C96DADB5D17CC720C170ADCCB938C1
9A6758045179DBE96EF34AB3811C3D1E
C43A146F8B3287A68BCA193CAF7BE16A
3A61B8DA99F73E60A0C305FF7A5085E1
1A77DDDAE05B6BD96820902B6AEE9CC3
D1642D1A13DB6E2627136F4197F3A9E8
00671B085EB385DEECB3FBAD1316CA42