APT37-GOLDBACKDOOR
Contents
GOLD BACKDOOR
( Document No : DT-20220509-001 )
www.hauri.co.kr
악성코드 상세 분석 보고서
하우리 보안대응센터
ㅇ 분석 개요
북한과 관련된 내용을 취재 및 보도하는 기자들을 겨냥한 새로운 스피어피싱 캠페인이 발견됐다.
북한 정부가 지원하는 APT37 그룹이 배후에 있는 것으로 밝혀졌으며, 이들은 바로가기 파일(.lnk)
을 이용해 파일리스(FileLess) 형식의 악성코드를 사용하였다. C&C 서버로는 Microsoft Graph API
를 사용한 것이 특징이다.
페이지 2 / 9
악성코드 상세 분석 보고서
하우리 보안대응센터
1. Kang Min-chol Edits 2.lnk
(MD5 : 99fb399c9b121ef6e60e9bdff8b324b2, SIZE : 282,692,102)
개요 : PowerShell을 이용해 Shellcode를 읽어오며, 정상 파일로 위장하기 위해 정상
문서파일도 생성 후 실행한다.
LNK.S.Agent.282692102
ViRobot
상세분석 :
(1) “Kang Min-chol Edits 2.lnk” 속성에는 PowerShell 코드를 실행시키는 명령을 가지고
있지만, 명령 앞에 수많은 쓰레기 값들을 넣어 명령 확인이 어렵게 하였다.
[그림 1] 숨겨진 PowerShell 코드
(2) .lnk 파일을 실행 시 정상 파일처럼 위장하기 위해 .lnk 파일의 0x24E0 오프셋에 위치한
정상 문서파일 바이너리 값을 가져와 생성한다.
생성 경로
MD5
%Temp%\Kang Min-chol Edits 2.doc
3F209FA947ACFA93D67D40DE9FA32FB2
[표 1] Kang Min-chol Edits 2.doc 정보
[그림 2] 정상 문서파일 생성 코드
[그림 3] .lnk 파일 내 문서 파일 데이터
페이지 3 / 9
악성코드 상세 분석 …
( Document No : DT-20220509-001 )
www.hauri.co.kr
악성코드 상세 분석 보고서
하우리 보안대응센터
ㅇ 분석 개요
북한과 관련된 내용을 취재 및 보도하는 기자들을 겨냥한 새로운 스피어피싱 캠페인이 발견됐다.
북한 정부가 지원하는 APT37 그룹이 배후에 있는 것으로 밝혀졌으며, 이들은 바로가기 파일(.lnk)
을 이용해 파일리스(FileLess) 형식의 악성코드를 사용하였다. C&C 서버로는 Microsoft Graph API
를 사용한 것이 특징이다.
페이지 2 / 9
악성코드 상세 분석 보고서
하우리 보안대응센터
1. Kang Min-chol Edits 2.lnk
(MD5 : 99fb399c9b121ef6e60e9bdff8b324b2, SIZE : 282,692,102)
개요 : PowerShell을 이용해 Shellcode를 읽어오며, 정상 파일로 위장하기 위해 정상
문서파일도 생성 후 실행한다.
LNK.S.Agent.282692102
ViRobot
상세분석 :
(1) “Kang Min-chol Edits 2.lnk” 속성에는 PowerShell 코드를 실행시키는 명령을 가지고
있지만, 명령 앞에 수많은 쓰레기 값들을 넣어 명령 확인이 어렵게 하였다.
[그림 1] 숨겨진 PowerShell 코드
(2) .lnk 파일을 실행 시 정상 파일처럼 위장하기 위해 .lnk 파일의 0x24E0 오프셋에 위치한
정상 문서파일 바이너리 값을 가져와 생성한다.
생성 경로
MD5
%Temp%\Kang Min-chol Edits 2.doc
3F209FA947ACFA93D67D40DE9FA32FB2
[표 1] Kang Min-chol Edits 2.doc 정보
[그림 2] 정상 문서파일 생성 코드
[그림 3] .lnk 파일 내 문서 파일 데이터
페이지 3 / 9
악성코드 상세 분석 …
IoC
3F209FA947ACFA93D67D40DE9FA32FB2
99fb399c9b121ef6e60e9bdff8b324b2
https://1drv.ms/u/s!Ar9zfrwxWWEoas5XiW9Me14ia
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBcjl6ZnJ3eFdXRW9h
99fb399c9b121ef6e60e9bdff8b324b2
https://1drv.ms/u/s!Ar9zfrwxWWEoas5XiW9Me14ia
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBcjl6ZnJ3eFdXRW9h