Operaion Moneyholic
Contents
2019. 08. 29
Operation Moneyholic
금전적 이득을 목적으로 한 최신 표적 공격 사례 분석
ASEC대응팀
경기도 성남시 분당구 판교역로 220 (우) 13493 | 대표전화 : 031-722-8000 | 팩스 : 031-722-8901 | www.ahnlab.com
© AhnLab, Inc. All rights reserved.
목차
개요 ............................................................................................................................................................................................ 3
악성코드 상세 분석............................................................................................................................................................ 4
1. 파일명의 이중확장자 및 공백............................................................................................................................. 4
2. 다양한 기법을 이용한 위장용 문서 파일 제작 ........................................................................................ 15
3. 아마데이(Amadey) 백도어 .................................................................................................................................. 25
4. 계속되는 악성코드 변화(2019 년 상반기) ................................................................................................... 29
5. 추가 악성코드 종류 및 특징 ............................................................................................................................. 35
악성코드 프로파일링 ....................................................................................................................................................... 42
1. 악성코드 비교 ........................................................................................................................................................... 42
2. 악성코드 유포지와 문자열 ‘Jerry’.................................................................................................................... 49
3. 동일한 C&C, 두 개의 흔적 ................................................................................................................................ 53
4. 문자열 ‘Jhon’ 또는 ‘John’ ................................................................................................................................... 56
결론 .......................................................................................................................................................................................... 60
안랩 제품 대응 현황 ....................................................................................................................................................... 61
IoC (Indicators of Compromise).................................................................................................................................. 64
※ 별첨 .................................................................................................................................................................................... 67
© AhnLab, Inc. All rights reserved.
2
개요
한때 세계적인 투기 열풍이 불었던 암호화폐(Cryptocurrency)는 각국의 암호화폐 정책이나 경기 변화의 영
향으로 등락을 반복하고 있지만, 투자 아이템으로 자리를 잡았다는 것이 중론이다.
암호화폐가 투자 자산으로 인기를 얻기 시작하면서 다수의 해킹 조직들도 암호화폐에 관심을 보이기 시작했
다. 이들은 복구 …
Operation Moneyholic
금전적 이득을 목적으로 한 최신 표적 공격 사례 분석
ASEC대응팀
경기도 성남시 분당구 판교역로 220 (우) 13493 | 대표전화 : 031-722-8000 | 팩스 : 031-722-8901 | www.ahnlab.com
© AhnLab, Inc. All rights reserved.
목차
개요 ............................................................................................................................................................................................ 3
악성코드 상세 분석............................................................................................................................................................ 4
1. 파일명의 이중확장자 및 공백............................................................................................................................. 4
2. 다양한 기법을 이용한 위장용 문서 파일 제작 ........................................................................................ 15
3. 아마데이(Amadey) 백도어 .................................................................................................................................. 25
4. 계속되는 악성코드 변화(2019 년 상반기) ................................................................................................... 29
5. 추가 악성코드 종류 및 특징 ............................................................................................................................. 35
악성코드 프로파일링 ....................................................................................................................................................... 42
1. 악성코드 비교 ........................................................................................................................................................... 42
2. 악성코드 유포지와 문자열 ‘Jerry’.................................................................................................................... 49
3. 동일한 C&C, 두 개의 흔적 ................................................................................................................................ 53
4. 문자열 ‘Jhon’ 또는 ‘John’ ................................................................................................................................... 56
결론 .......................................................................................................................................................................................... 60
안랩 제품 대응 현황 ....................................................................................................................................................... 61
IoC (Indicators of Compromise).................................................................................................................................. 64
※ 별첨 .................................................................................................................................................................................... 67
© AhnLab, Inc. All rights reserved.
2
개요
한때 세계적인 투기 열풍이 불었던 암호화폐(Cryptocurrency)는 각국의 암호화폐 정책이나 경기 변화의 영
향으로 등락을 반복하고 있지만, 투자 아이템으로 자리를 잡았다는 것이 중론이다.
암호화폐가 투자 자산으로 인기를 얻기 시작하면서 다수의 해킹 조직들도 암호화폐에 관심을 보이기 시작했
다. 이들은 복구 …
IoC
068a6acb7d4ec0d146497e37fccca210
0c08c15f4becc21fab5ee3a0871f2c39
103.249.31.159
103.249.31.170
104.243.41.186
109a42f52b68b1af7ec1ac3d5cb22cfd
111.90.138.41
11fc4829c2fff9fb240acbd71c60fc67
147.46.46.140
156.67.222.184
160.202.162.78
160.202.162.79
1793f7bddf6be0129fe8af7488dd384f
180.71.56.198
188.241.39.10
188.241.39.220
193.148.16.45
194.59.164.14
1d9668a4d59b19d50f93481f65ca4e46
217.197.161.78
27.102.112.179
2827cc82c23cc054944930d331c7475f
37c6326f3cf3542e52439a66150ba278
45fa564f2ccea45ff26099cb3737d654
4a86f5909441914ff04f2a16bb379353
5.252.198.93
51e161503b6cd3d9f854cffcbfcd4e77
5259e9a18754703fdd47d2c9ade0e35f
61.14.210.72
61.14.211.140
62.133.58.60
6f5f22753af837433267dcd76bf316ea
715051f5028dc793e06b20b4048f33a6
865138cf59970c8c871f085ce18fcb1b
8fc875be2f4b6be1fd31ef6a99d0be25
96cc6500169b047e5ab2565f91e1eaaa
9cb536f3af8a9d52937dddac43d3de99
a25811b24b7f27a486c05c0a09ad992d
a3f297208d69bd597e7235cad7faefaf
a553bd68ee74e920eb7c4f068ce35706
a77566ec1317117d5fe0eb4d647c6ac0
ac7f2afa1934eb9178de53ec1c50d6aa
b02f3881321f0912b2ae3f27498c448f
b12fa22d02fda312eaf31babe2d719e9
b2fcef57d62ca5075e62975aee272137
[email protected]
[email protected]
[email protected]
c1063cfa402e64882d41f88ada87c8d1
d32f6ed7958c07698d3f51e7268f1fa4
ecfc59216dd787dff53cf2e4b7d0f832
f05af1304c8fb427b5f073f2e0154c0e
f6ebbd988d6f68749343c6ede200ce36
http://881.000webhostapp.com/setup1.txt
http://881.000webhostapp.com/setup2.txt
http://attach10131.1apps.com/1.txt
http://attach10131.1apps.com/11.txt
http://gmaildown.1apps.com/1.txt
http://result-viewer.com/cc/index.php
[email protected]
[email protected]
0c08c15f4becc21fab5ee3a0871f2c39
103.249.31.159
103.249.31.170
104.243.41.186
109a42f52b68b1af7ec1ac3d5cb22cfd
111.90.138.41
11fc4829c2fff9fb240acbd71c60fc67
147.46.46.140
156.67.222.184
160.202.162.78
160.202.162.79
1793f7bddf6be0129fe8af7488dd384f
180.71.56.198
188.241.39.10
188.241.39.220
193.148.16.45
194.59.164.14
1d9668a4d59b19d50f93481f65ca4e46
217.197.161.78
27.102.112.179
2827cc82c23cc054944930d331c7475f
37c6326f3cf3542e52439a66150ba278
45fa564f2ccea45ff26099cb3737d654
4a86f5909441914ff04f2a16bb379353
5.252.198.93
51e161503b6cd3d9f854cffcbfcd4e77
5259e9a18754703fdd47d2c9ade0e35f
61.14.210.72
61.14.211.140
62.133.58.60
6f5f22753af837433267dcd76bf316ea
715051f5028dc793e06b20b4048f33a6
865138cf59970c8c871f085ce18fcb1b
8fc875be2f4b6be1fd31ef6a99d0be25
96cc6500169b047e5ab2565f91e1eaaa
9cb536f3af8a9d52937dddac43d3de99
a25811b24b7f27a486c05c0a09ad992d
a3f297208d69bd597e7235cad7faefaf
a553bd68ee74e920eb7c4f068ce35706
a77566ec1317117d5fe0eb4d647c6ac0
ac7f2afa1934eb9178de53ec1c50d6aa
b02f3881321f0912b2ae3f27498c448f
b12fa22d02fda312eaf31babe2d719e9
b2fcef57d62ca5075e62975aee272137
[email protected]
[email protected]
[email protected]
c1063cfa402e64882d41f88ada87c8d1
d32f6ed7958c07698d3f51e7268f1fa4
ecfc59216dd787dff53cf2e4b7d0f832
f05af1304c8fb427b5f073f2e0154c0e
f6ebbd988d6f68749343c6ede200ce36
http://881.000webhostapp.com/setup1.txt
http://881.000webhostapp.com/setup2.txt
http://attach10131.1apps.com/1.txt
http://attach10131.1apps.com/11.txt
http://gmaildown.1apps.com/1.txt
http://result-viewer.com/cc/index.php
[email protected]
[email protected]