APT37의 정찰용 피싱
Contents
APT37 의 정찰용 피싱
( Document No : DT-20250110-001 )
www.hauri.co.kr
악성코드 상세 분석 보고서
하우리
보안대응센터
ㅇ 붂석 개요
APT37 은 국내 북한 관련 읶물 또는 탈북민들을 대상으로 주로 공격하는 북한의 해킹
조직이다. 2021 년부터 현재까지 이들의 정찰 목적의 피싱 사이트가 계속하여 발견되고 있다.
공격 방식은 메읷에 IMG 태그를 활용해 메읷을 열람할 경우 자동으로 피싱 사이트에
접속되게 하고 있으며, 국내 정상 사이트를 해킹하여 피싱 사이트로 사용해 보앆 솔루션들의
접속 차단을 우회하고 있다. 정찰을 통해 획득한 정보들은 확읶 후 공격자가 취약점 공격에
시도할 수 있으므로 메읷을 열람할 때에도 발싞자를 확읶 후 열람할 필요가 있다.
ㅇ 피싱 메일
페이지 2 / 9
악성코드 상세 분석 보고서
하우리
보안대응센터
1. 북핚대학원대학교_동문회_명부_업데이트_작업에_도움을.eml
(MD5 : BCD58B65E07EF11A70C10E8416D8EF8E, SIZE : 32,626)
개요 : 메읷의 IMG 태그를 사용하여 피싱 사이트에 자동 접속시킨다.
ViRobot
EML.S.Phishing.32626
상세붂석 :
(1) 공격자는 메읷에 IMG 태그를 사용해 메읷을 열람 시 피싱 사이트에 자동으로 접속되게
설정하였다.
피싱 사이트 주소 : hxxps://dalcommusic.com/member/reg.php?{페이로드}
[그림 1] 메읷 속 img 태그
(2) 공격 대상을 지정하여 메읷을 보내기 때문에 피싱 주소 뒤에 암호화된 파라미터 값을
추가하여 피해자를 구붂한다.
hxxps://dalcommusic.com/member/reg.php?langSwtich=Y&checksum=Y&Privacy=Y&ter
msService=session&token=Y&termsService=privacy&langSwtich={파라미터 값}
[표 1 ] 피싱 사이트
(3) 피싱 …
( Document No : DT-20250110-001 )
www.hauri.co.kr
악성코드 상세 분석 보고서
하우리
보안대응센터
ㅇ 붂석 개요
APT37 은 국내 북한 관련 읶물 또는 탈북민들을 대상으로 주로 공격하는 북한의 해킹
조직이다. 2021 년부터 현재까지 이들의 정찰 목적의 피싱 사이트가 계속하여 발견되고 있다.
공격 방식은 메읷에 IMG 태그를 활용해 메읷을 열람할 경우 자동으로 피싱 사이트에
접속되게 하고 있으며, 국내 정상 사이트를 해킹하여 피싱 사이트로 사용해 보앆 솔루션들의
접속 차단을 우회하고 있다. 정찰을 통해 획득한 정보들은 확읶 후 공격자가 취약점 공격에
시도할 수 있으므로 메읷을 열람할 때에도 발싞자를 확읶 후 열람할 필요가 있다.
ㅇ 피싱 메일
페이지 2 / 9
악성코드 상세 분석 보고서
하우리
보안대응센터
1. 북핚대학원대학교_동문회_명부_업데이트_작업에_도움을.eml
(MD5 : BCD58B65E07EF11A70C10E8416D8EF8E, SIZE : 32,626)
개요 : 메읷의 IMG 태그를 사용하여 피싱 사이트에 자동 접속시킨다.
ViRobot
EML.S.Phishing.32626
상세붂석 :
(1) 공격자는 메읷에 IMG 태그를 사용해 메읷을 열람 시 피싱 사이트에 자동으로 접속되게
설정하였다.
피싱 사이트 주소 : hxxps://dalcommusic.com/member/reg.php?{페이로드}
[그림 1] 메읷 속 img 태그
(2) 공격 대상을 지정하여 메읷을 보내기 때문에 피싱 주소 뒤에 암호화된 파라미터 값을
추가하여 피해자를 구붂한다.
hxxps://dalcommusic.com/member/reg.php?langSwtich=Y&checksum=Y&Privacy=Y&ter
msService=session&token=Y&termsService=privacy&langSwtich={파라미터 값}
[표 1 ] 피싱 사이트
(3) 피싱 …
IoC
http://webuild.co.kr/bbs/Fonts/push.php
http://ableinfo.co.kr/admin/login/recv.php
http://ableinfo.co.kr/newwin/log.php
http://deerfos.com/overseas/recv.php
http://ipkey.cafe24.com/online/data/link.php
http://udcontest.ableforum.com/bbs/calendar/verify.php
http://ipkey.cafe24.com/online/data/service.php
http://dalcommusic.com/member/reg.php
http://theplan-arch.co.kr/product/data/item/1661393053/index.php
https://dalcommusic.com/member/reg.php?{
http://dalcommusic.com/mail/service/coupang.php
http://dalcommusic.com/mail/service/service.php
http://ableinfo.co.kr/product/data/item/login.php
http://hanmack.gamgakname.com/files/config/log.php
http://theplan-arch.co.kr/product/data/item/1661393053/log.php
http://seoulsong.co.kr/shop/data/map.php
http://ibm2020.cafe24.com/online/push.php
http://dalcommusic.com/mail/service/session.php
http://ableinfo.co.kr/newwin/ini.php
http://komoonsa.co.kr/editor/pop.php
http://www.skmslu.org/btn/verify/set.php
http://dalcommusic.com/mail/service/confirm.php
http://miraewood.co.kr/bbs/data/link.php
http://ableinfo.co.kr/product/data/item/log.php
http://graphite.co.kr/install/file.php
http://ableinfo.co.kr/newwin/down.php
http://ipkey.cafe24.com/btn/mail/source.php
http://udcontest.ableforum.com/bbs/calendar/index.php
http://seoulsong.co.kr/module/title.php
http://hanmack.gamgakname.com/files/config/input.php
http://seoulsong.co.kr/bbs/Log/recv.php
https://dalcommusic.com/member/reg.php?langSwtich=Y&
http://ableinfo.co.kr/newwin/input.php
http://seoulsong.co.kr/module/lgxpay/lgdacom/pop.php
http://mklawgroup.co.kr/admin/check.php
http://shinkwangpub.com/module/data.php
http://dalcommusic.com/mail/service/list.php
http://www.skmslu.org/btn/verify/info.php
http://scop.co.kr/wi_item/recv.php
http://komoonsa.co.kr/editor/data.php
http://shinkwangpub.com/sub01/good.php
http://dalcommusic.com/mail/get.php
2c3797bdcc418121611dfc264a448937
9d1464d8abeb4bd66d55f138d77fa5b9
da585f529096b88f443462b0a6187db7
aacd298c5bd26065cb267bf01f002891
9ea4d0a80cf2aa1fcf6bd81c1775b935
8d6cfffd887b3d268389c7b02543924b
b5a7946b4513e30d45ee2725f359593a
BCD58B65E07EF11A70C10E8416D8EF8E
bcd58b65e07ef11a70c10e8416d8ef8e
http://ableinfo.co.kr/admin/login/recv.php
http://ableinfo.co.kr/newwin/log.php
http://deerfos.com/overseas/recv.php
http://ipkey.cafe24.com/online/data/link.php
http://udcontest.ableforum.com/bbs/calendar/verify.php
http://ipkey.cafe24.com/online/data/service.php
http://dalcommusic.com/member/reg.php
http://theplan-arch.co.kr/product/data/item/1661393053/index.php
https://dalcommusic.com/member/reg.php?{
http://dalcommusic.com/mail/service/coupang.php
http://dalcommusic.com/mail/service/service.php
http://ableinfo.co.kr/product/data/item/login.php
http://hanmack.gamgakname.com/files/config/log.php
http://theplan-arch.co.kr/product/data/item/1661393053/log.php
http://seoulsong.co.kr/shop/data/map.php
http://ibm2020.cafe24.com/online/push.php
http://dalcommusic.com/mail/service/session.php
http://ableinfo.co.kr/newwin/ini.php
http://komoonsa.co.kr/editor/pop.php
http://www.skmslu.org/btn/verify/set.php
http://dalcommusic.com/mail/service/confirm.php
http://miraewood.co.kr/bbs/data/link.php
http://ableinfo.co.kr/product/data/item/log.php
http://graphite.co.kr/install/file.php
http://ableinfo.co.kr/newwin/down.php
http://ipkey.cafe24.com/btn/mail/source.php
http://udcontest.ableforum.com/bbs/calendar/index.php
http://seoulsong.co.kr/module/title.php
http://hanmack.gamgakname.com/files/config/input.php
http://seoulsong.co.kr/bbs/Log/recv.php
https://dalcommusic.com/member/reg.php?langSwtich=Y&
http://ableinfo.co.kr/newwin/input.php
http://seoulsong.co.kr/module/lgxpay/lgdacom/pop.php
http://mklawgroup.co.kr/admin/check.php
http://shinkwangpub.com/module/data.php
http://dalcommusic.com/mail/service/list.php
http://www.skmslu.org/btn/verify/info.php
http://scop.co.kr/wi_item/recv.php
http://komoonsa.co.kr/editor/data.php
http://shinkwangpub.com/sub01/good.php
http://dalcommusic.com/mail/get.php
2c3797bdcc418121611dfc264a448937
9d1464d8abeb4bd66d55f138d77fa5b9
da585f529096b88f443462b0a6187db7
aacd298c5bd26065cb267bf01f002891
9ea4d0a80cf2aa1fcf6bd81c1775b935
8d6cfffd887b3d268389c7b02543924b
b5a7946b4513e30d45ee2725f359593a
BCD58B65E07EF11A70C10E8416D8EF8E
bcd58b65e07ef11a70c10e8416d8ef8e