APT37 공격 그룹의 지속적 위협 공격
Contents
APT37 공격 그룹의 지속적 위협 공격
(Microsoft Store 업데이트로 위장하는 악성코드)
( Document No : DT-20250320-001 )
www.hauri.co.kr
악성코드 상세 분석 보고서
HAURI CERT
ㅇ 분석 개요
▷ APT37의 정찰용 피싱
https://www.hauri.co.kr/security/security_view.html?intSeq=72&page=1&keyfield=&key=
이전 보고서인 ‘APT37의 정찰용 피싱’의 악용된 서버에서 악성 LNK 파일이 다수 확인되었
다. LNK 파일은 악성코드 감염을 유도하는 디코이(미끼) 문서로 탈취한 문서 파일을 사용하며
MicrosoftAppStore 업데이트 파일로 위장한 뒤 작업 스케줄러에 등록하여 실행을 위한 지속
성을 확보한다. 해당 서버에서 확인된 LNK 파일들은 디코이 문서만 다를 뿐 악성 동작은 동
일하였으며 웹상에서 취약한 정상 서버를 해킹하고, 악성코드 유포지로 악용하여 추가 페이
로드를 다운받는다. 해당 LNK 파일에서 사용된 디코이 문서는 항공, 은행, 보앆 등 사회적 핵
심 붂야를 대상으로 공격 붂야가 다양하다는 것을 알 수 있다. 북한 해킹 그룹으로 추정되는
APT 공격 그룹들은 문서 파일로 위장한 LNK 파일을 지속적으로 사용하고 있기에 ‘확장명 숨
기기’ 옵션 해제 후 사용하기를 권장한다. 무엇보다 APT 공격의 피해를 줄이려면 등의 사용
자들의 관심과 노력, 세심한 주의가 필요하다.
[공격 도식도]
페이지 2 / 6
악성코드 상세 분석 보고서
HAURI CERT
1. airport.lnk
(MD5 : DE26582DDA75C138F35E932DD2424EEA, SIZE : 50,646,220)
개요 …
(Microsoft Store 업데이트로 위장하는 악성코드)
( Document No : DT-20250320-001 )
www.hauri.co.kr
악성코드 상세 분석 보고서
HAURI CERT
ㅇ 분석 개요
▷ APT37의 정찰용 피싱
https://www.hauri.co.kr/security/security_view.html?intSeq=72&page=1&keyfield=&key=
이전 보고서인 ‘APT37의 정찰용 피싱’의 악용된 서버에서 악성 LNK 파일이 다수 확인되었
다. LNK 파일은 악성코드 감염을 유도하는 디코이(미끼) 문서로 탈취한 문서 파일을 사용하며
MicrosoftAppStore 업데이트 파일로 위장한 뒤 작업 스케줄러에 등록하여 실행을 위한 지속
성을 확보한다. 해당 서버에서 확인된 LNK 파일들은 디코이 문서만 다를 뿐 악성 동작은 동
일하였으며 웹상에서 취약한 정상 서버를 해킹하고, 악성코드 유포지로 악용하여 추가 페이
로드를 다운받는다. 해당 LNK 파일에서 사용된 디코이 문서는 항공, 은행, 보앆 등 사회적 핵
심 붂야를 대상으로 공격 붂야가 다양하다는 것을 알 수 있다. 북한 해킹 그룹으로 추정되는
APT 공격 그룹들은 문서 파일로 위장한 LNK 파일을 지속적으로 사용하고 있기에 ‘확장명 숨
기기’ 옵션 해제 후 사용하기를 권장한다. 무엇보다 APT 공격의 피해를 줄이려면 등의 사용
자들의 관심과 노력, 세심한 주의가 필요하다.
[공격 도식도]
페이지 2 / 6
악성코드 상세 분석 보고서
HAURI CERT
1. airport.lnk
(MD5 : DE26582DDA75C138F35E932DD2424EEA, SIZE : 50,646,220)
개요 …
IoC
http://taibs.co.kr/attach/recruit/cruit0.php?dwlen=call
http://taibs.co.kr/attach/recruit/cruit0.php?cfast=[parameter
8A0D6260ECDF551342633C93C03E4511
90026C2DBDB294B13FD03DA2BE011DD1
BDDE4878F82DDA79D983464153D71009
DEA8785B4C54D9AE6FA9C24DE77531EB
DE26582DDA75C138F35E932DD2424EEA
F51F60834BA1734AE3765661D0F2654A
640C6F987B24F35BB29D3DB0F4B8C87B
345DECFFC710344A55FE121DF7692DF8
http://taibs.co.kr/attach/recruit/cruit0.php?cfast=[parameter
8A0D6260ECDF551342633C93C03E4511
90026C2DBDB294B13FD03DA2BE011DD1
BDDE4878F82DDA79D983464153D71009
DEA8785B4C54D9AE6FA9C24DE77531EB
DE26582DDA75C138F35E932DD2424EEA
F51F60834BA1734AE3765661D0F2654A
640C6F987B24F35BB29D3DB0F4B8C87B
345DECFFC710344A55FE121DF7692DF8