{
	"id": "2af79689-552d-42fd-9255-febf49869d80",
	"created_at": "2026-04-06T00:19:36.119322Z",
	"updated_at": "2026-04-10T03:21:10.674935Z",
	"deleted_at": null,
	"sha1_hash": "899ca1bce85b3c285e39bfcf9c1528eb58694c14",
	"title": "취약한 Innorix 악용한 악성코드 유포 - ASEC",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 256584,
	"plain_text": "취약한 Innorix 악용한 악성코드 유포 - ASEC\r\nBy ATCP\r\nPublished: 2023-02-15 · Archived: 2026-04-05 17:31:20 UTC\r\nASEC(AhnLab Security Emergengy response Center) 분석팀은 취약한 버전의 Innorix Agent 사용자를 타겟으\r\n로 악성코드 유포 정황을 확인하였다. 확보된 악성코드는 백도어로 C\u0026C 서버로 접속을 시도한다.\r\n[그림 1] 한국인터넷진흥원 취약점 보안 업데이트 공지[1]\r\n유포에 악용된 Innorix Agent 프로그램은 파일 전송 솔루션 클라이언트 프로그램으로, 한국인터넷진흥원\r\n(KISA)[1]에서 취약점 관련 내용을 게시하고 보안 업데이트가 권고된 INNORIX Agent 9.2.18.450 및 이전\r\n버전 에 해당하는 9.2.18.418 로 확인했다.\r\nhttps://asec.ahnlab.com/ko/47751/\r\nPage 1 of 4\n\n[그림 2] ASD 인프라 탐지 로그\r\n탐지된 백도어는 C\u0026C 서버로 접속을 시도한다. 주요 기능으로는 사용자 PC의 정보를 수집하여 전달하는\r\n기능이 있으며 화면캡처 기능과 파일 생성 및 실행 기능이 있다.\r\n[그림 3] ASD 인프라 탐지 리포트\r\n확인된 백도어는 두 가지 외형을 갖는 형태였으며, 초기 발견된 형태는 C/C++ 로 개발된 것으로 확인했으\r\n며 최근 탐지된 샘플은 닷넷으로 제작된 형태이다. 두 가지 형태 모두 기능에서는 차이가 없으며, 일부 탐\r\n지 리포트에서 악성코드를 작업 스케줄러에 등록할때 작업 이름에 자사명(AhnLab)을 사용하여 은닉 하려\r\n는 방식을 사용하는 것을 확인 했다.\r\nhttps://asec.ahnlab.com/ko/47751/\r\nPage 2 of 4\n\n[그림 4]인코딩 및 디코딩 루틴\r\n백도어로 구분되는 이 악성코드는 데이터를 수신 때 [그림 4] 의 루틴을 이용하여 데이터를 사용하며, 발신\r\n때도 동일하게 사용하여 데이터를 전송한다. 데이터를 인코딩 및 디코딩 루틴을 통해 암호화해 전송하여\r\n패킷 단위의 모니터링을 우회하며 자사 진단명 기준 Andardoor의 특징으로 볼 수 있다. 키 값은\r\nhttps://asec.ahnlab.com/ko/47751/\r\nPage 3 of 4\n\n74615104773254458995125212023273 로 2017년도에 작성된 CISA 보고서[2]에 명시된 XOR 키값과 동일하\r\n다. 최근 소프트웨어의 취약점으로 유포되는 형태가 확인되고 있어 기업 사용자 및 일반 사용자의 각별한\r\n주의가 필요하다. 취약한 버전의 소프트웨어는 업데이트 후 사용하도록 관리되어야 한다. \r\n[파일 진단] \r\nBackdoor/Win.Andardoor.R558252\r\nBackdoor/Win.Andardoor.C5381120\r\nBackdoor/Win.Andardoor.C5382662\r\nBackdoor/Win.Andardoor.C5382103\r\nBackdoor/Win.Andardoor.C5382101\r\n[References] \r\n1) https://knvd.krcert.or.kr/detailSecNo.do?IDX=5622\u0026nbsp;\r\n2) https://www.cisa.gov/uscert/sites/default/files/publications/MAR-10135536-D_WHITE_S508C.PDF\r\nMD5\r\n0211a3160cc5871cbcd4e5514449162b\r\n0a09b7f2317b3d5f057180be6b6d0755\r\n1ffccc23fef2964e9b1747098c19d956\r\n9112efb49cae021abebd3e9a564e6ca4\r\nac0ada011f1544aa3a1cf27a26f2e288\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nFQDN\r\nIP\r\n109[.]248[.]150[.]179\r\n139[.]177[.]190[.]243\r\n27[.]102[.]107[.]224\r\n27[.]102[.]113[.]88\r\n4[.]246[.]144[.]112\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nSource: https://asec.ahnlab.com/ko/47751/\r\nhttps://asec.ahnlab.com/ko/47751/\r\nPage 4 of 4",
	"extraction_quality": 1,
	"language": "KO",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://asec.ahnlab.com/ko/47751/"
	],
	"report_names": [
		"47751"
	],
	"threat_actors": [],
	"ts_created_at": 1775434776,
	"ts_updated_at": 1775791270,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/899ca1bce85b3c285e39bfcf9c1528eb58694c14.pdf",
		"text": "https://archive.orkl.eu/899ca1bce85b3c285e39bfcf9c1528eb58694c14.txt",
		"img": "https://archive.orkl.eu/899ca1bce85b3c285e39bfcf9c1528eb58694c14.jpg"
	}
}