# ‘2021년 국방부 업무보고 수정’ 문서로 위장한 악성코드 유포

**asec.ahnlab.com/ko/20057/**

2021년 2월 3일

1월 24일 ASEC에서는 ‘2021년 국방부 업무보고 수정’문서로 위장하여 악성코드가 함께 유포
된 정황을 확인하였다. 해당 악성코드의 확장자는 아래와 같이 *.pif로 만들어져 유포되었으며
이는 EXE 확장자와 같은 실행 가능한 파일이다. 파일 실행 시 아래의 그림과 같이 현재 국방부
홈페이지에서 제공하는 정상 PDF 문서의 내용과 동일한 파일이 사용자에게 보여진다. 하지
만, 정상 PDF 문서파일과 함께 (사용자 모르게) 악성 파일(DLL형식)이 생성 및 실행되는 구조
를 갖는다.

유포 파일 명

2021년 국방부 업무보고 수정.pif

생성 파일

%원본파일 경로%\2021년 국방부 업무보고 수정.pdf (정상문서)
C:\ProgramData\Intel\Driver\driver.cfg (악성 DLL 파일)


-----

생성된


정상 ‘2021년 국방부 업무보고 수정.pdf’


-----

실제 국방부 홈페이지에 업로드 된 문서와 같은 내용으로 유포
생성된 악성 DLL 파일은 regsvr32.exe를 통해 실행되며 아래 그림과 같이 ‘Disk0’이라는 명으
로 스케줄 등록되어 30분마다 실행된다.

30분 단위로 실행될 수 있도록 스케줄 등록


-----

2021년 1월 23일 컴파일 된 악성 DLL
최종적으로 C2접속 후 공격자로부터 명령을 받아 추가 악성 행위가 수행될 것으로 보인다.

현재 해당 악성 파일은 아래와 같이 V3에서 진단 중이다.

**[파일** 진단]

Downloader/Win64.Agent.C4318031
Trojan/Win64.Agent.C4318029

**[관련 IoC]**

hxxp://exchange.amikbvx.cf/
hxxp://imap.pamik.cf/
7e041b101e1e574fb81f3f0cdf1c72b8
447163d776b62bf0b1c652c996cc0586

[Categories:악성코드](https://asec.ahnlab.com/ko/category/malware/) 정보


-----