lazarusholic

Everyday is lazarus.dayβ

세금 고지서로 위장한 정보 탈취 악성코드

2025-05-27, Hauri
https://download.hauri.net/DownSource/down/dwn_detail_down.html?uid=76
2025-05-27상세분석보고서세금고지서로위장한정보탈취악성코드.pdf, 1.3 MB
#LNK

Contents

세금 고지서로 위장한 정보 탈취 악성코드
( Document No : DT-20250527-001 )
www.hauri.co.kr
악성코드 상세 분석 보고서
HAURI CERT
ㅇ 분석 개요
LNK 파일을 이용한 공격이 지속적으로 관찰되고 있다. 본 보고서에서는 세금 고지서로 위장
한 정보 탈취 악성코드를 다루며 해당 악성코드는 바로가기 파일을 통해 추가 악성코드를 실행
한다. 윈도우 디펜더 활성화 상태에 따라 다운받는 악성코드의 형태는 상이하다. 디펜더 비활성
화 상태면 DLL 악성코드를 실행하며 디펜더 활성화 상태면 난독화된 스크립트형 악성코드를
실행한다. 실행된 각 악성코드는 정보탈취 악성코드로, 시스템 정보 및 사용자 정보를 수집하여
C&C로 젂송한다. C&C 통싞을 통해 추가 악성코드를 실행 할 수 있다.
미상의 파일 실행 자제 및 파일 확장자/유형 확인 등 파일 열람 시 사용자들의 각별한 주의
가 필요하다.
[공격 도식도]
페이지 2 / 8
악성코드 상세 분석 보고서
HAURI CERT
1. 국세 고지서.pdf.lnk
(MD5 : 9AA925D86B0A176EEB69AA0E9F24C418, SIZE : 2,245)
개요 : 다운로더형 악성코드를 실행한다.
ViRobot LNK.S.Downloader.2245
상세분석 :
(1) ‘국세 고지서.pdf’로 위장한 바로가기 파일로 실행 시, mshta.exe 를 통해 txjyh.hta 이름의
악성코드를 실행한다.
 C&C: hxxps://cdn.glitch[.]global/b33b49c5-5e3d-4a33-b66b-c719b917fa62/txjyh.hta
[그림 1] ‘국세 고지서.pdf.lnk’ 실행 코드
(2) txjyh.hta 는 난독화된 VBScript 이며 디코이 문서 출력 후 윈도우 디펜더의 활성화 …