{
	"id": "e324e3ef-55cd-4fe9-84e7-b82c023f4b2f",
	"created_at": "2026-04-06T00:13:58.028427Z",
	"updated_at": "2026-04-10T03:22:02.229827Z",
	"deleted_at": null,
	"sha1_hash": "c466fa3de547d8802b9dc8dd4e433bb790a36178",
	"title": "정상 인증서를 악용하여 유포 중인 백도어 악성코드 주의!",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1185229,
	"plain_text": "정상 인증서를 악용하여 유포 중인 백도어 악성코드 주의!\r\nBy 알약(Alyac)\r\nPublished: 2025-05-15 · Archived: 2026-04-05 15:25:32 UTC\r\n유효한 정상 인증서가 포함된 악성코드가 발견되어 사용자분들의 각별한 주의가 필요합니다. \r\n해당 악성 파일은 국내 유명 기업의 정상 인증서로 서명되어 있어 탐지 회피를 노렸으며, SCR 포맷의 실행\r\n파일이지만 PDF 파일처럼 보이도록 아이콘이 조작되어 있습니다. \r\nhttps://blog.alyac.co.kr/5564\r\nPage 1 of 8\n\nhttps://blog.alyac.co.kr/5564\r\nPage 2 of 8\n\n[그림 1] 파일 속성 및 디지털 서명 정보\r\n악성파일이 실행되면 파일 내부에서 PDF 파일을 추출하여 %TEMP% 폴더에 생성한 뒤 CMD 명령어를 이\r\n용해 실행합니다. \r\n생성된 PDF 파일은 사용자의 주의를 끌기 위한 미끼 파일이며, 이로 인해 사용자는 감염 사실을 인지하기\r\n어렵습니다. \r\n[그림 2] PDF 파일 생성 코드\r\nhttps://blog.alyac.co.kr/5564\r\nPage 3 of 8\n\n[그림 3] 생성된 PDF 파일\r\n이후 다시 config.dat 파일을 추출하여 %Public% 폴더에 생성하고 파일 생성이 완료되면 자가 삭제됩니다.\r\n생성된 config.dat 파일은 악성 DLL 파일로 rundll32.exe 파일을 통해 로드되어 CMD 명령어를 이용해 실행\r\n됩니다.\r\n실행하는 CMD 명령어는 다음과 같습니다.\r\ncmd.exe /c start rundll32.exe C:\\Users\\Public\\config.dat hello \r\n[그림 4] config.dat 파일 생성 코드\r\n실행된 후에는 지속성 유지를 위해 사용자 권한을 확인한 뒤 관리자 권한일 경우 서비스를 생성하고, 관리\r\n자 권한이 아닐 경우 레지스트리 키를 생성합니다. \r\n[그림 5] MicrosoftEdgeInstaller서비스 생성 코드\r\nhttps://blog.alyac.co.kr/5564\r\nPage 4 of 8\n\n[그림 6] 레지스트리 키 생성 코드\r\n지속성 유지를 위한 절차가 끝나면 공격자 서버(C2)와 통신을 하기위한 설정 파일인 DATA_CONF 파일의\r\n존재 여부를 체크한 뒤 파일이 있는 경우 해당 파일을 사용하여 통신을 시작하고 없을 경우 내부 데이터를\r\nRC4 알고리즘으로 복호화 한 후 사용합니다.\r\n이때 사용하는 키 값은 다음과 같습니다. \r\nRC4 키 값 : RGdcsedfd@#%dg9ser3$#$^@34sdfxl \r\n[그림 7] DATA_CONF 파일 존재 여부 확인 코드\r\nhttps://blog.alyac.co.kr/5564\r\nPage 5 of 8\n\n[그림 8] 설정 데이터 복호화 코드\r\n이후 공격자 서버로 접속하여 명령코드를 수신 받고 실행합니다. \r\n[그림 9] 명령코드 수신 코드\r\n수행하는 명령 코드에 대한 내용은 다음과 같습니다. \r\n명령코\r\n드\r\n명령 정보\r\nhttps://blog.alyac.co.kr/5564\r\nPage 6 of 8\n\nd 작업 경로 변경\r\ne 파일 다운로드\r\nf 파일 업로드\r\ng 프로세스 생성으로 요청한 명령 실행\r\nh 요청한 사용자 권한으로 프로세스(명령) 실행\r\ni 파일 삭제\r\nj 화면 캡처 및 업로드\r\nk 연결 유지\r\nl 설정 파일(DATA_CONF) 변경\r\nm 요청한 C2정보로 연결 시도\r\nn 프로그램 일시정지\r\no 파일 타임스탬프 수정\r\np 파일 삭제 및 지속성 유지를 위한 서비스 또는 레지스트리 키 삭제\r\nq 명령 재수신\r\nr\r\n명령어가 cd 로 시작하면 명령 실행 이후 결과를 저장한 파일을 업로드하고, 아닐 경우 작\r\n업 디렉토리 변경\r\ns 인젝션 수행\r\n[표 1] 명령 코드 목록\r\n최종 실행된 악성 DLL 파일은 공격자의 서버로부터 명령을 수신 받아 악성행위를 수행하는 백도어 악성\r\n코드이며, 파일 업로드/다운로드, 화면 캡처 및 전송 등 다양한 악성행위를 수행할 수 있습니다. \r\n사용자분들께서는 평소 ‘파일 확장자 표시’ 옵션을 설정해 두시고 실행 형 확장자 (EXE, LNK, SCR 등) 파\r\n일은 실행하지 않도록 주의하시기 바랍니다. \r\n[그림 10] 파일 확장자 표시 옵션\r\n알약에서는 해당 악성코드에 대해 Trojan.Dropper.611828A, Backdoor.Agent.611828A 으로 탐지 중에 있습\r\n니다. \r\nhttps://blog.alyac.co.kr/5564\r\nPage 7 of 8\n\nIoc\r\n7EC88818697623A0130B1DE42FA31335 \r\n580D7A5FDF78DD3E720B2CE772DC77E9\r\ngsegse.dasfesfgsegsefsede.o-r[.]kr/login.php\r\nSource: https://blog.alyac.co.kr/5564\r\nhttps://blog.alyac.co.kr/5564\r\nPage 8 of 8",
	"extraction_quality": 1,
	"language": "KO",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://blog.alyac.co.kr/5564"
	],
	"report_names": [
		"5564"
	],
	"threat_actors": [],
	"ts_created_at": 1775434438,
	"ts_updated_at": 1775791322,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/c466fa3de547d8802b9dc8dd4e433bb790a36178.pdf",
		"text": "https://archive.orkl.eu/c466fa3de547d8802b9dc8dd4e433bb790a36178.txt",
		"img": "https://archive.orkl.eu/c466fa3de547d8802b9dc8dd4e433bb790a36178.jpg"
	}
}