{
	"id": "a16e22d7-5da0-48cf-81f3-7e4d1c057d41",
	"created_at": "2026-04-06T01:32:30.605394Z",
	"updated_at": "2026-04-10T13:12:45.907351Z",
	"deleted_at": null,
	"sha1_hash": "d0d666177b14b04a9202863e5b062a0e5936b161",
	"title": "특정 군부대 유지보수 업체 대상으로 AppleSeed 유포",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1900020,
	"plain_text": "특정 군부대 유지보수 업체 대상으로 AppleSeed 유포\r\nBy ATCP\r\nPublished: 2022-07-21 · Archived: 2026-04-06 00:33:39 UTC\r\nASEC 분석팀은 최근 특정 군부대 유지보수 업체 대상으로 AppleSeed 악성코드를 유포하는 정황을 포착\r\n하였다. AppleSeed 악성코드는 Kimsuky 조직에서 주로 사용되는 백도어성 악성코드로 최근 여러 대상을\r\n타깃으로 활발히 유포하고 있다.\r\nhttps://asec.ahnlab.com/ko/36918/\r\nPage 1 of 5\n\n발주서, 품의서를 위장한 AppleSeed 유포 – ASEC BLOG\r\nASEC 분석팀은 최근들어 발주서, 품의서를 위장하여 AppleSeed 악성코드를 유포하는 정황을 포착하였\r\n다. AppleSeed는 Kimsuky 조직에서 주로 사용되는 백도어성 악성코드로 시스템에 상주하면서 공격자의\r\n명령을 받아 악성행위를 수행한다. 최근에는 아래와 같은 파일명으로 악성코드 유포가 이루어지고 있다.\r\n발주서-**-2022****-001-국세청5개지방세무서차단센서 추가 도입_***.jse 품의서(***과장님).jse\r\nJSE(JScript Encoded File) 파일은 자바 스크립트로 되어있으며, 실행하면 아래와 같이…\r\n이번에는 특정 군부대의 이름이 담긴 아래와 같은 파일명으로 악성코드 유포가 이루어졌다.\r\n20220713_****부대_설치 예상 일정V004_***시스 수정_6.xls\r\n최초 엑셀 문서 형태(XLS)로 유포가 이루어졌으며, 백신을 우회하기 위해서인지 엑셀 파일은 암호로 보호\r\n되고 있다.\r\n해당 문서 파일을 실행하면 [그림 2]와 같이 콘텐츠 사용 버튼을 클릭하도록 유도하는 내용이 쓰여있으며,\r\n콘텐츠 사용 버튼을 클릭하면 매크로에 의하여 [그림 3]으로 본문이 바뀌게 된다.\r\nhttps://asec.ahnlab.com/ko/36918/\r\nPage 2 of 5\n\n매크로 내용을 확인해보면, 실제 엑셀 본문은 보이도록, 매크로 실행을 허용하도록 안내하는 문구는 숨김\r\n처리하며, mshta를 이용하여 특정 C2에서 추가 스크립트를 다운로드 받아 실행한다.\r\n추가 스크립트는 AppleSeed를 다운로드 받아 실행하는 루틴이 담겨져 있으며, 아래 경로에 저장되어 실행\r\n된다.\r\n경로 : %ProgramData%\\Software\\ControlSet\\Service\\ServiceScheduler.dll\r\n실행 인자 : regsvr32.exe /s /n /i:12345QWERTY [AppleSeed 경로]\r\nAppleSeed가 실행되면 지속적으로 C2 서버로부터 명령을 받은 후, 추가 모듈을 다운로드 받아 실행하거나\r\n공격자가 원하는 행위를 일으킬 수 있다. AppleSeed에 대한 추가적인 상세한 분석 정보는 여기를 참고하면\r\n된다.\r\nAppleSeed를 주로 사용하는 Kimsuky 조직은 공격에 성공할 확률을 높이기 위하여 다양한 방법으로 공격\r\n을 시도하고 있다. 출처가 불분명한 메일의 첨부 파일을 실행하지 않도록 주의가 필요하며, 매크로 파일의\r\n경우 확실히 신뢰할 수 있는 파일만 매크로를 실행하도록 해야 한다.\r\nhttps://asec.ahnlab.com/ko/36918/\r\nPage 3 of 5\n\n현재 안랩 V3 제품은 해당 파일들에 대해 다음과 같이 진단하고 있다.\r\n[파일 진단]\r\nDownloader/XSL.Kimsuky\r\nBackdoor/Win.AppleSeed.R504704\r\nMD5\r\n1ac5b803205b1c3464941df2c21958e7\r\na3786f14c85842861aa3493ec30be949\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nURL\r\nhttp[:]//hime[.]dothome[.]co[.]kr/exchange/\r\nhttp[:]//sign[.]dothome[.]co[.]kr/login/\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nAhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용\r\n은 아래 배너를 클릭하여 확인해보세요.\r\nhttps://asec.ahnlab.com/ko/36918/\r\nPage 4 of 5\n\nSource: https://asec.ahnlab.com/ko/36918/\r\nhttps://asec.ahnlab.com/ko/36918/\r\nPage 5 of 5",
	"extraction_quality": 1,
	"language": "KO",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://asec.ahnlab.com/ko/36918/"
	],
	"report_names": [
		"36918"
	],
	"threat_actors": [
		{
			"id": "191d7f9a-8c3c-442a-9f13-debe259d4cc2",
			"created_at": "2022-10-25T15:50:23.280374Z",
			"updated_at": "2026-04-10T02:00:05.305572Z",
			"deleted_at": null,
			"main_name": "Kimsuky",
			"aliases": [
				"Kimsuky",
				"Black Banshee",
				"Velvet Chollima",
				"Emerald Sleet",
				"THALLIUM",
				"APT43",
				"TA427",
				"Springtail"
			],
			"source_name": "MITRE:Kimsuky",
			"tools": [
				"Troll Stealer",
				"schtasks",
				"Amadey",
				"GoBear",
				"Brave Prince",
				"CSPY Downloader",
				"gh0st RAT",
				"AppleSeed",
				"Gomir",
				"NOKKI",
				"QuasarRAT",
				"Gold Dragon",
				"PsExec",
				"KGH_SPY",
				"Mimikatz",
				"BabyShark",
				"TRANSLATEXT"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "760f2827-1718-4eed-8234-4027c1346145",
			"created_at": "2023-01-06T13:46:38.670947Z",
			"updated_at": "2026-04-10T02:00:03.062424Z",
			"deleted_at": null,
			"main_name": "Kimsuky",
			"aliases": [
				"G0086",
				"Emerald Sleet",
				"THALLIUM",
				"Springtail",
				"Sparkling Pisces",
				"Thallium",
				"Operation Stolen Pencil",
				"APT43",
				"Velvet Chollima",
				"Black Banshee"
			],
			"source_name": "MISPGALAXY:Kimsuky",
			"tools": [
				"xrat",
				"QUASARRAT",
				"RDP Wrapper",
				"TightVNC",
				"BabyShark",
				"RevClient"
			],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "c8bf82a7-6887-4d46-ad70-4498b67d4c1d",
			"created_at": "2025-08-07T02:03:25.101147Z",
			"updated_at": "2026-04-10T02:00:03.846812Z",
			"deleted_at": null,
			"main_name": "NICKEL KIMBALL",
			"aliases": [
				"APT43 ",
				"ARCHIPELAGO ",
				"Black Banshee ",
				"Crooked Pisces ",
				"Emerald Sleet ",
				"ITG16 ",
				"Kimsuky ",
				"Larva-24005 ",
				"Opal Sleet ",
				"Ruby Sleet ",
				"SharpTongue ",
				"Sparking Pisces ",
				"Springtail ",
				"TA406 ",
				"TA427 ",
				"THALLIUM ",
				"UAT-5394 ",
				"Velvet Chollima "
			],
			"source_name": "Secureworks:NICKEL KIMBALL",
			"tools": [
				"BabyShark",
				"FastFire",
				"FastSpy",
				"FireViewer",
				"Konni"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "71a1e16c-3ba6-4193-be62-be53527817bc",
			"created_at": "2022-10-25T16:07:23.753455Z",
			"updated_at": "2026-04-10T02:00:04.73769Z",
			"deleted_at": null,
			"main_name": "Kimsuky",
			"aliases": [
				"APT 43",
				"Black Banshee",
				"Emerald Sleet",
				"G0086",
				"G0094",
				"ITG16",
				"KTA082",
				"Kimsuky",
				"Larva-24005",
				"Larva-25004",
				"Operation Baby Coin",
				"Operation Covert Stalker",
				"Operation DEEP#DRIVE",
				"Operation DEEP#GOSU",
				"Operation Kabar Cobra",
				"Operation Mystery Baby",
				"Operation Red Salt",
				"Operation Smoke Screen",
				"Operation Stealth Power",
				"Operation Stolen Pencil",
				"SharpTongue",
				"Sparkling Pisces",
				"Springtail",
				"TA406",
				"TA427",
				"Thallium",
				"UAT-5394",
				"Velvet Chollima"
			],
			"source_name": "ETDA:Kimsuky",
			"tools": [
				"AngryRebel",
				"AppleSeed",
				"BITTERSWEET",
				"BabyShark",
				"BoBoStealer",
				"CSPY Downloader",
				"Farfli",
				"FlowerPower",
				"Gh0st RAT",
				"Ghost RAT",
				"Gold Dragon",
				"GoldDragon",
				"GoldStamp",
				"JamBog",
				"KGH Spyware Suite",
				"KGH_SPY",
				"KPortScan",
				"KimJongRAT",
				"Kimsuky",
				"LATEOP",
				"LOLBAS",
				"LOLBins",
				"Living off the Land",
				"Lovexxx",
				"MailPassView",
				"Mechanical",
				"Mimikatz",
				"MoonPeak",
				"Moudour",
				"MyDogs",
				"Mydoor",
				"Network Password Recovery",
				"PCRat",
				"ProcDump",
				"PsExec",
				"ReconShark",
				"Remote Desktop PassView",
				"SHARPEXT",
				"SWEETDROP",
				"SmallTiger",
				"SniffPass",
				"TODDLERSHARK",
				"TRANSLATEXT",
				"Troll Stealer",
				"TrollAgent",
				"VENOMBITE",
				"WebBrowserPassView",
				"xRAT"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775439150,
	"ts_updated_at": 1775826765,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/d0d666177b14b04a9202863e5b062a0e5936b161.pdf",
		"text": "https://archive.orkl.eu/d0d666177b14b04a9202863e5b062a0e5936b161.txt",
		"img": "https://archive.orkl.eu/d0d666177b14b04a9202863e5b062a0e5936b161.jpg"
	}
}