{
	"id": "512a813a-c3d0-4867-8abd-40f52dc5ebb0",
	"created_at": "2026-04-06T00:16:21.545481Z",
	"updated_at": "2026-04-10T13:12:40.228532Z",
	"deleted_at": null,
	"sha1_hash": "205dc18769d392a757e8de9c59a416795de45ed7",
	"title": "“「2021 평화∙통일 이야기 공모전」 참가 신청서” 제목의 한글문서 유포 (APT 추정)",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2651043,
	"plain_text": "“「2021 평화∙통일 이야기 공모전」 참가 신청서” 제목의 한글문서\r\n유포 (APT 추정)\r\nBy ATCP\r\nPublished: 2020-12-08 · Archived: 2026-04-05 20:33:49 UTC\r\nASEC분석팀은 특정 지자체의 문서를 위조한 한글 악성코드가 유포 중인 것을 확인했다. 해당 문서는 아\r\n래 [그림 1]과 같이 평화∙통일을 주제로 하고 있다. 문서 실행 시 내부 악성 OLE 개체에 의해 악성코드가 특\r\n정 경로에 생성되며 사용자가 문서를 클릭할 경우 실행된다.\r\nhttps://asec.ahnlab.com/ko/18796/\r\nPage 1 of 7\n\n[그림1] 악성 문서 내용\r\n해당 악성 문서에 대한 정보는 다음 [그림2]와 같다.\r\nhttps://asec.ahnlab.com/ko/18796/\r\nPage 2 of 7\n\n[그림2] 문서 정보\r\n악성 문서는 다음 [그림 3]과 같이 악성 OLE 개체를 포함하고 있으며, 문서가 실행되면 OLE 개체 내부의\r\nPE 파일(.exe) 악성코드가 특정 경로에 생성된다.\r\n[그림3] 문서 내부 악성 개체\r\n악성코드를 생성되는 경로는 다음과 같다.\r\nC:\\Users[사용자명]\\AppData\\Local\\Temp\\HncApp.exe\r\nhttps://asec.ahnlab.com/ko/18796/\r\nPage 3 of 7\n\n생성된 파일을 실행시키기 위해 제작자는 문서 전체에 투명한 개체를 만들어 두고 하이퍼링크를 연결해\r\n두었다. 따라서 사용자가 문서의 어디든 클릭한다면 생성된 악성코드가 실행된다.\r\n[그림4] 생성된 파일을 실행하는 하이퍼링크\r\n여기서, 하이퍼링크는 다음과 같이 상대 주소로 작성되어 있는데, 생성된 악성코드가 실행되기 위해서는\r\n본 한글 파일이 다음 경로에 위치해야 한다.\r\nC:\\Users[사용자명]\\AppData\\Local\\~\\~\\~\\~\\Sample.hwp\r\n이로 보아 해당 악성 문서 파일이 특정 프로그램이나 압축 툴 사용자를 타겟으로 했을 가능성이 있다. 예\r\n를 들어 기업에서 흔히 사용되는 MS Outlook의 경우 메일의 첨부파일이 임시로 실행되는 디렉토리가 위\r\n구조와 같다.\r\n생성된 악성코드가 실행되면 자신의 바이너리 뒷부분에서 데이터를 읽어들인 후 XOR 복호화를 수행한\r\n다. 악성코드의 PE 구조 끝 부분에는 다음과 같은 구조로 되어있다. 암호화키와 길이, 데이터가 PE 구조 끝\r\n부분에 붙여져 있다. 이를 복호화 하여 새로운 PE 파일을 생성한 후 가상 메모리에 로딩하여 실행한다.\r\nhttps://asec.ahnlab.com/ko/18796/\r\nPage 4 of 7\n\n[그림5] 악성코드 파일 구조\r\n복호화 후 실행되는 악성코드는 다음과 같은 행위를 한다.\r\n자가 복제\r\ncmd /c copy “C:\\Users\\vmuser\\AppData\\Local\\Temp\\HncApp.exe”\r\n“C:\\Users\\Public\\Documents\\IDMhelpAssist.exe”\r\n자동 실행 등록\r\ncmd /c reg add HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /v IDMhelp /t REG_SZ /f /d\r\n“C:\\Users\\Public\\Documents\\IDMhelpAssist.exe”\r\nPowerShell을 활용한 C2 통신\r\nC2 통신 시에는 PowerShell을 통해 특정 페이지로 접속한 후 응답 값을 파일로 쓴다. 이후 악성코드는 해당\r\n파일을 읽어 그에 맞는 명령을 수행하는 과정을 반복한다. 해당 C2 주소는 과거 레드아이즈 APT 공격 그\r\n룹에 의해 사용된 것으로 알려진 도메인이다. 위에 나열된 행위 외에도 정보 탈취, 스크린샷 전송 등의 다\r\n양한 악성 행위가 가능하다.\r\n최근 지속적으로 악성 OLE를 포함하는 한글 파일이 유포되고 있어 사용자의 주의가 필요하다. 출처가 불\r\n분명한 파일이나 알 수 없는 발신자로부터 받은 파일의 경우 실행을 지양해야하며, 한글 및 오피스 등의\r\n프로그램은 항상 최신 버전을 유지해야 한다.\r\n현재 V3 제품에서는 관련 파일에 대하여 아래의 진단명으로 탐지 및 차단하고 있다.\r\n[파일 진단]\r\nDropper/HWP.Agent (2020.12.09.00)\r\nTrojan/Win32.Agent.C4251645 (2020.12.09.00)\r\nMD5\r\n2c98cbb1a8eb04aeadb1be235ebb7231\r\nb100f0ab63a2b74a5d5ff54d533fc60f\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nURL\r\nhttps://asec.ahnlab.com/ko/18796/\r\nPage 5 of 7\n\nhttp[:]//price365[.]co[.]kr/abbi/json/ps/aa[.]php\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nhttps://asec.ahnlab.com/ko/18796/\r\nPage 6 of 7\n\nSource: https://asec.ahnlab.com/ko/18796/\r\nhttps://asec.ahnlab.com/ko/18796/\r\nPage 7 of 7",
	"extraction_quality": 1,
	"language": "KO",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://asec.ahnlab.com/ko/18796/"
	],
	"report_names": [
		"18796"
	],
	"threat_actors": [],
	"ts_created_at": 1775434581,
	"ts_updated_at": 1775826760,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/205dc18769d392a757e8de9c59a416795de45ed7.pdf",
		"text": "https://archive.orkl.eu/205dc18769d392a757e8de9c59a416795de45ed7.txt",
		"img": "https://archive.orkl.eu/205dc18769d392a757e8de9c59a416795de45ed7.jpg"
	}
}