{
	"id": "18eca652-6362-4ddf-99be-0ba8aa4c38c4",
	"created_at": "2026-04-06T00:16:12.593975Z",
	"updated_at": "2026-04-10T03:37:08.746837Z",
	"deleted_at": null,
	"sha1_hash": "fb5018ee8607de197e23dc8c4b40bdbe84e83dbc",
	"title": "저작권 위반 안내 메일로 위장한 PureHVNC 악성코드 유포 사례",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 3314666,
	"plain_text": "저작권 위반 안내 메일로 위장한 PureHVNC 악성코드 유포 사례\r\nBy 황희재(Heejae Hwang)\r\nPublished: 2025-08-27 · Archived: 2026-04-05 17:16:55 UTC\r\n1. 개요\r\n지난 6월 13일경, 자사 대표 메일 계정으로 ‘웹사이트에 게시된 콘텐츠와 관련된 공식 안내문’이라는 제목\r\n의 메일이 수신되었다.\r\nhttps://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/\r\nPage 1 of 20\n\n회사 대표 메일로 수신된 스피어피싱 메일\r\n본 글에서는 해당 스피어피싱 이메일에 대한 메일 헤더, 본문, 첨부된 악성 링크와 다운로드 되는 파일들\r\n에 대한 분석 내용을 기술한다.\r\n2. 수신된 메일 분석\r\n2.1. 메일 헤더\r\nhttps://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/\r\nPage 2 of 20\n\n발신자 이메일 주소는 deunofujioemnipeggymaxim4085@gmail.com 으로, Gmail 주소를 사용한 것으로\r\n확인되었다. 이는 공격자가 Google 계정을 생성하여 악성 메일 발송에 활용한 것으로 판단된다.\r\n메일 인증 프로토콜 결과를 통해 SPF, DKIM, DMARC 모두 pass 상태로 확인된다. 공격자가\r\nGmail 서비스를 사용하였기 때문에 이런 결과가 나온 것으로 판단된다.\r\n메일 발송 서버 정보를 나타내는 공식 Received 헤더에는 mail-sor-f41.google.com 이 기록되어\r\n있으며, 이는 Google의 메일 서버로 확인된다.\r\n수신된 스피어피싱 메일 헤더 중 일부\r\n2.2. 메일 본문\r\n해당 메일은 HMP Law(황목박 법률사무소)를 사칭하여 웹사이트 내 저작권 위반 내용을 통지하는 형식으\r\n로 구성되어 있다.\r\n메일 본문에는 수신자의 웹사이트에 게시된 콘텐츠가 저작권을 침해하고 있으며, KeyEast의 요청에 따라\r\n해당 사실을 확인하였다는 내용을 담고 있다.\r\n본문 중간에는 문제된 콘텐츠의 상세 목록과 확인 일자, 저작권 소유자 등의 정보가 기술되어 있으며, ‘관\r\n련 기사 목록 및 세부 자료(PDF 파일)’이라는 문구를 통해 첨부파일 또는 외부 링크 클릭을 유도하고 있었\r\n다.\r\n특히, ‘HMP Law’, ‘KeyEast’ 등 실제 존재하는 회사명을 사용하여, 수신자에게 3일 이내 조치를 요청하는\r\n등 긴박감을 조성하여 클릭을 유도하는 사회공학적 기법이 사용되었다.\r\n본문의 내용은 수신자가 의심 없이 링크를 열람하도록 유도하기 위한 전형적인 스피어 피싱 공격 수법으\r\n로 판단된다.\r\nhttps://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/\r\nPage 3 of 20\n\n수신된 스피어피싱 메일 본문\r\n이메일 본문에서 확인된 링크를 통해 사용자에게 악성 파일을 다운로드하도록 유도하는 구조이다.\r\n해당 링크를 통해 제공된 파일의 정보는 아래와 같다.\r\nURL https://filezonekr.0911performance.de/YDYcezQ\r\n파일명 위반_게시물_목록_상세_자료.zip\r\n파일형식 압축 파일(.zip)\r\n용량 133804,608 bytes (127 MB)\r\nMD5 28F12E7F6631DC368A4A2887B9E685E0\r\nhttps://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/\r\nPage 4 of 20\n\n위반_게시물_목록_상세_자료.zip 속성 정보\r\n3. 악성파일 분석\r\n악성파일 내용\r\nhttps://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/\r\nPage 5 of 20\n\n이메일 본문에서 유도된 링크를 통해 다운로드된 압축 파일(위반_게시물_목록_상세_자료.zip)을 확인한\r\n결과, 내부에는 다음과 같은 파일들이 존재한다.\r\n위반_게시물_목록_상세_자료.zip 압축 해제 결과\r\n이 중 위반_게시물_목록_상세_자료.exe 는 PDF 문서 아이콘과 유사한 아이콘을 사용하고 있으나, 실제로\r\n는 실행 파일로 확인된다.\r\n나머지 DLL 파일 및 폴더는 모두 숨김 속성이 설정되어 있어 Windows 기본 설정으로 사용중인 일반 사용\r\n자는 인지하기 어렵다.\r\n악성파일 실행 흐름\r\n본 보고서에서는 악성 행위의 흐름을 보다 명확히 설명하기 위해 분석 결과를 바탕으로 공격 과정을 3단\r\n계로 구분하여 설명한다.\r\n악성파일 실행 흐름도\r\n1단계 - 악성코드 실행 환경 구성\r\n위반_게시물_목록_상세_자료.exe\r\n첨부된 파일 중 사용자가 실행하게 되는 프로그램으로, 앞서 설명한 바와 같이 PDF 문서와 유사한 아이콘\r\n을 사용하여 사용자의 실행을 유도한다.\r\nhttps://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/\r\nPage 6 of 20\n\n파일의 속성 정보에는 Haihaisoft社의 PDF Reader로 표시되어 있으며, 해당 프로그램은 정상 프로그램으로\r\n악성행위를 수행하지 않는다.\r\n위반_게시물_목록_상세_자료.exe 속성 정보\r\n위반_게시물_목록_상세_자료.exe 실행화면\r\nhttps://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/\r\nPage 7 of 20\n\n위반_게시물_목록_상세_자료.exe 파일이 실행되면, 동일 경로에 위치한 version.dll 파일을 로드하게 된\r\n다.\r\n이는 Windows 운영체제의 DLL 검색 순서(DLL Search Order)를 악용한 것으로, 실행 파일과 동일한 위치에\r\n존재하는 DLL이 우선적으로 로드되는 특성을 이용한 것이다.\r\n공격자는 이 메커니즘을 활용하여 악성 DLL을 로드한다.\r\n위반_게시물_상세_목록_자료.exe 실행 후 프로세스 모니터 결과\r\nversion.dll\r\n해당 악성 version.dll 은 정상 DLL을 위장한 Proxy DLL로, 실행 파일과 동일한 경로에 위치시켜 우선적\r\n으로 로드되도록 구성되어 있다.\r\n이후 정상적인 기능 제공을 위하여 시스템 디렉터리 내의 진짜 version.dll 을 찾아 로드하고, 해당 DLL\r\n의 함수들을 중계(proxy)하는 방식으로 동작한다.\r\nversion.dll 내부 코드 중 정상 DLL 로드 부분\r\n_ 폴더에 존재하는 Evidence Report.docx 는 악성 DLL이 실행 중 불러오는 파일로, 문서 확장자를 사용\r\n하고 있으나 내부에는 암호화된 페이로드가 저장되어 있다.\r\nhttps://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/\r\nPage 8 of 20\n\nversion.dll 내 \"_\\Evidence Report.docx\"를 불러오는 부분\r\nversion.dll 내부 코드 중 페이로드 복호화 부분\r\nEvidence Report.docx 파일의 내용을 복호화한 결과는 아래와 같다.\r\ncmd /c cd _ \u0026\u0026 start Document.pdf \u0026\u0026 certutil -decode Document.pdf Invoice.pdf \u0026\u0026 images.png x -ibck -y Invoice\r\n복호화된 페이로드는 Windows 명령 프롬프트( cmd.exe )를 이용해 악성 행위를 수행하도록 구성되어 있\r\n으며, 분석한 결과는 아래와 같다.\r\n1. 암호화된 페이로드 복호화 - certutil -decode Document.pdf Invoice.pdf 명령을 통해, 암호화된\r\nDocument.pdf 파일을 Invoice.pdf 로 복호화한다. 이는 Windows 기본 도구인 certutil 을 이용한\r\n것으로, 외부 도구 없이도 암호화를 해제할 수 있도록 구성되어 있다.\r\n2. 악성 페이로드 압축 해제 - images.png x -ibck -y Invoice.pdf C:\\\\Users\\\\Public 명령을 통해, 복\r\n호화된 Invoice.pdf 파일을 images.png 라는 실행 파일을 사용하여 지정된 경로\r\n( C:\\\\Users\\\\Public )에 압축 해제한다. 해당 images.png 는 실제 압축 해제 기능을 수행하는\r\nWinRAR이며, 확장자만 .png 로 변경되어 있다.\r\n3. 2단계 악성코드 실행 - 마지막으로 start C:\\\\Users\\\\Public\\\\Windows\\\\svchost.exe\r\nC:\\\\Users\\\\Public\\\\Windows\\\\Lib\\\\images.png ADN_NEW_VER_BOT 명령을 통해, 2단계 악성코드가 실행\r\n된다.\r\nhttps://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/\r\nPage 9 of 20\n\nImages.png 확장자 변경 후 속성 정보 확인\r\n2단계 - 정보탈취 및 지속성 유지\r\n1단계에서 압축 해제 이후 생성된 디렉터리인 C:\\Users\\Public\\Windows 에는 아래와 같은 실행 파일 및 라\r\n이브러리 파일들이 포함되어 있다.\r\n특히, 해당 경로에 존재하는 svchost.exe 는 이름만 Windows 시스템 파일과 동일하게 위장되어 있을 뿐,\r\n실제 파일은 Python 런타임 실행 파일( pythonw.exe )으로 확인되었다.\r\nC:\\Users\\Public\\Windows\\svchost.exe 속성 정보\r\n또한, C:\\Users\\Public\\Windows 디렉터리에는 python310.dll , vcruntime140.dll 등 Python 실행에 필요\r\n한 필수 구성 요소가 함께 포함되어 있어, 외부 의존성 없이 독립적으로 악성 스크립트를 구동할 수 있는\r\n환경이 갖추어져 있는 상태이다.\r\nhttps://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/\r\nPage 10 of 20\n\n공용 폴더(C:\\Users\\Public\\Windows)에 구축된 악성코드 실행 환경\r\nC:\\Users\\Public\\Windows\\Lib\\images.png\r\n해당 images.png 파일은 내부적으로 Python 스크립트를 포함하고 있으며, 암호화된 형태의 코드를 복호\r\n화한 뒤 marshal.loads() 를 통해 컴파일된 파이썬 바이트코드(.pyc)를 로딩하고, exec() 함수를 통해 실\r\n행하는 구조를 가진다.\r\n이후 등장하는 악성 Python 스크립트들도 동일한 방식으로 구성되어 있다.\r\nimages.png 파일 내용\r\n해당 악성코드에서 확인된 기능은 아래와 같다.\r\n레지스트리 등록\r\n지속성 유지를 위해서 컴퓨터가 부팅될 때마다 실행될 수 있도록\r\nHKCU\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run 경로에 키 값 Windows Update Service 를 등록\r\n한다.\r\n레지스트리에서 확인한 자동실행 목록\r\n(HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run)\r\n추가 페이로드 다운로드 및 실행\r\n텔레그램 주소 t.me/ADN_NEW_VER_BOT 에 접근하여, 추가 페이로드 다운로드에 필요한 값(bAfkY)을 파싱한\r\n다.\r\nhttps://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/\r\nPage 11 of 20\n\n텔레그램 주소(t.me/ADN_NEW_VER_BOT) 접근 결과\r\n이후, 해당 값을 이용하여 텍스트 파일 공유 사이트 paste.rs의 https://paste.rs/bAfkY 경로로부터 추가\r\n페이로드를 다운로드한다.\r\npaste.rs/bAfkY 에서 다운로드된 파일은 bAfkY.py 라고 명명하였다.\r\n파이썬 코드 동적 분석 시 식별된 URL\r\nbAfkY.py\r\nbAfkY.py 는 텍스트 공유 사이트 paste.rs 를 통해 다운로드된 Python 기반 악성 스크립트로 확인된다.\r\n분석을 통해 확인한 기능은 아래와 같다.\r\n기능 분석 결과 요약\r\n시스템 정보 수집 설치된 백신 목록, 컴퓨터 이름, 사용자명, 공인 IP, 운영체제 정보\r\n브라우저 정보 수\r\n집\r\n저장된 계정 정보(ID/PW), 쿠키, 자동완성, 결제수단, 방문기록 등\r\nhttps://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/\r\nPage 12 of 20\n\n기능 분석 결과 요약\r\n수집 정보 전송\r\n수집된 모든 정보를 압축하여 .zip 파일로 생성한 후, 공격자가 구축한 인프라에\r\n업로드\r\n추가 페이로드 실\r\n행\r\nClipBanker, PureHVNC 악성코드 실행\r\n시스템 정보 수집\r\n설치된 백신 목록\r\n컴퓨터 이름, 사용자명\r\n공인 IP 및 국가 코드 (ipwho.is API 이용)\r\n운영체제 정보\r\n브라우저 정보 수집\r\n대상 브라우저\r\nChomium 기반 브라우저\r\nChromium, Thorium, Chrome, Iridium, Vivaldi, Epic, Dragon, CocCoc, Brave, Brave\r\nNightly, Edge, Yandex, Slimjet, Opera, Opera GX, Opera Crypto, Speed360,\r\nQQBrowser, Sogou, Naver Whale, Avast, AVG, SRWare, Falkon, Wavebox, Sidekick,\r\nGhost, Blisk, CCleaner, CentBrowser, Liebao, Maxthon, UR Browser, Arc, Mullvad,\r\nAloha, 360extremebrowser\r\nGekco 기반 브라우저\r\nFirefox, Firefox Nightly, Pale Moon, SeaMonkey, Waterfox, Mercury, K-Meleon,\r\nIceDragon, Cyberfox, BlackHaw, Basilisk, Firefox ESR, Flock, SlimBrowser,\r\nCometBird, GNU IceCat\r\n수집 항목\r\n저장된 계정 정보 (ID/비밀번호)\r\n쿠키\r\n자동완성 정보\r\n저장된 결제 카드 정보\r\n방문 기록\r\nhttps://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/\r\nPage 13 of 20\n\n디컴파일된 악성코드 소스코드(bAfkY.py) 중 브라우저 정보 탈취 부분\r\n수집 정보 전송\r\n수집된 모든 정보를 압축하여 .zip 파일로 생성한 후, 공격자가 구축한 인프라에 업로드\r\n사용된 명령제어(C2) 서버 주소\r\nhttps://lp2tpju9yrz2fklj.lone-none-1807.workers.dev\r\n디컴파일된 악성코드 소스코드(bAfkY.py) 중 탈취정보 전송 부분\r\n추가 페이로드 실행\r\nClipBanker 실행\r\nhttps://paste.rs/7S7TJ 에서 다운로드\r\nPureHVNC 실행\r\nhttps://0x0.st/8gPe.py 에서 다운로드\r\n3단계 - 추가 악성코드 실행\r\nClipBanker(7S7TJ.py)\r\npaste.rs/7S7TJ 에서 다운로드 되는 파이썬 스크립트이며, 클립보드 모니터링을 통해 암호화폐 지갑 주\r\n소를 탈취하는 ClipBanker 계열의 악성코드다.\r\nhttps://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/\r\nPage 14 of 20\n\n디컴파일된 악성코드 일부(7S7TJ.py)\r\n분석을 통해 확인한 공격자 지갑 주소 목록은 아래와 같다.\r\n대상 가상 화폐 공격자 지갑 주소\r\nADA addr1v9z2y2779hpf3lgnyuy63uc9k57ax852gz5eswnlk832llsdp09ju\r\nAPT 0xee86319219d906d49a028123e0291b109af0a8247ee20ae2e0bdbb4981d85178\r\nATOM cosmos1j8pp7zvcu9z8vd882m284j29fn2dszh05cqvf9\r\nAVAX X-avax13hlekjw5nqpl3hp3m5rl3ff4gpssf90anef0wt\r\nBCH qqaffr86936tqskawz2xze5q3l04tre7uulwu0cqn5\r\nSegWitBTC bc1qaa9vghummhrtchemtnnylml6ap2g9zswqeadgt\r\nBTC 1DPguuHEophw6rvPZZkjBA3d8Z9ntCqm1L\r\nDASH Xg7MoYLMUtzt9Eo88mJZWvWDoZZXPznaGX\r\nDOGE DH72ZiUDLNu25p6TetQ5QFn5SEmV3MyKkq\r\nhttps://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/\r\nPage 15 of 20\n\n대상 가상 화폐 공격자 지갑 주소\r\nETH 0xd38c3fc36ee1d0f4c4ddaeebb72e5ce2d5e7646c\r\nKAVA kava1szpwvzhehgxtuxsfyp9r97m5fcu5805dqzr7ep\r\nLTC LKWGDHLLfzMRXrQm4aXNDvqefuTVQKErq2\r\nNANO nano_1i6so5d8owzb9cxwnapb1oypzg4s5dx7ag5cb9rfh9ckmti5h91ss9695yrx\r\nNEO AJkLwhs46y8oBjBE6ELttp43DZ5pDYxCgA\r\nQTUM QgqaGFgQ8tYJTx5rbd58RkY3vNBqXphoZc\r\nTRX TMxdsJ9G2urZ9wf9nSKRVpwT8qtu5ApMMu\r\nXLM GABFQIK63R2NETJM7T673EAMZN4RJLLGP3OFUEJU5SZVTGWUKULZJNL6\r\nXMR XMR_ADDRESS\r\nXRP rNxp4h8apvRis6mJf9Sh8C6iRxfrDWN7AV\r\nXTZ tz2ASUGoBPejTDFuRDHMQLTd2rS4Z3aFw8Xw\r\nZEC tex1fl5anvmna38x2r8umyyqpgsrxtm5dkrl226ag6\r\nALGO L2JIZTBLCOTR2VAL22IRXHKQELBI6VB4UUW5SGVKFUFKXKLZD5YP7ZJVK4\r\nHBAR 0.0.1873771\r\nSOL GQwKEEi49iKywE8ycnFsxRhxJTVf6YsoJb2vAFigc8GK\r\nDOT 12QHbhTZgkckVBN4M9C8JvuFHYtJQZT9vepAjmuDpYiWLcME\r\nTON EQD5mxRgCuRNLxKxeOjG6r14iSroLF5FtomPnet-sgP5xNJb\r\nNEAR 9cffb87b56c40283ad505a3d5895b72663d9d8d7e5d070a8d5818d60820de10b\r\nPureHVNC(8gPe.py)\r\n8gPe.py 는 Python으로 작성된 악성 스크립트로, Process Hollowing 기법을 활용하여 악성 페이로드를 실\r\n행한다.\r\n디컴파일한 코드 내에서 Proccess Hollowing을 위한 전형적인 Windows API 호출 패턴이 확인된다.\r\nhttps://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/\r\nPage 16 of 20\n\n디컴파일된 악성코드(8gPe.py) 내 Process Hollowing 패턴 식별 - 1\r\n디컴파일된 악성코드(8gPe.py) 내 Process Hollowing 패턴 식별 - 2\r\nProcess Hollowing의 대상은 C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\RegAsm.exe 로 확인된다.\r\n디컴파일된 악성코드(8gPe.py) 내 Process Hollowing 대상 파일 설정 부분\r\n실행되는 악성코드는 C#으로 작성된 PureHVNC 악성코드로 확인된다.\r\nhttps://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/\r\nPage 17 of 20\n\n실행된 악성코드에서 확인된 PureHVNC 문자열\r\n상세 분석 결과, 연결하는 C2서버는 157.66.26.209 로 확인된다.\r\n동적 분석을 통해 확인한 C2 서버 주소\r\n식별된 C2 서버(157.66.26.209) 관련하여 협력사인 나루시큐리티의 도움을 받아 네트워크 분석을 진행하\r\n였다.\r\n공격자는 뉴질랜드에 위치한 취약 서버들을 먼저 침해하여 공격 거점과 컨트롤러로 활용한 뒤 이를 중계\r\n지로 거쳐 최종적으로 C2 서버에 접속하는 것으로 파악된다.\r\n이 과정에서 3218, 541, 56001~56003번 포트가 사용되었다. 즉, 공격 인프라는 거점 서버→컨트롤러→C2\r\n서버→감염지로 이어지는 다단계 구조를 가지며 취약하게 관리되고 있는 보안 솔루션 서버를 악용하고\r\n있는 특징이 있었다.\r\nhttps://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/\r\nPage 18 of 20\n\nC2 서버(157.66.26.209) 네트워크 기반 분석 결과\r\n4. 결론\r\n본 사례와 같이 실존하는 기관이나 법률사무소를 사칭한 스피어피싱 공격은 수신자의 신뢰를 유도하고\r\n판단력을 흐림으로써, 즉각적인 행동을 유발하도록 설계되어 있어 각별한 주의가 요구된다.\r\n이러한 공격을 예방하기 위해서는 임직원을 대상으로 한 정기적인 보안 교육을 시행하고, 이메일 수신 시\r\n발신자 정보와 첨부파일, 하이퍼링크의 진위 여부를 확인하는 습관을 갖는 것이 중요하다.\r\n또한, 필요 시 외부 이메일에 대한 모니터링 체계를 구축하고, 의심스러운 첨부파일이나 링크에 대해 자동\r\n분석 및 차단 기능을 제공하는 보안 솔루션을 도입하는 방안도 고려할 수 있다.\r\n특히 이번 사례에서는 기존의 실행 파일(.exe)이 아닌, Python 스크립트 기반의 악성코드가 사용된 점이 특\r\n징적이다.\r\n공격자는 자체적인 실행 환경을 구성하여 의존성을 최소화하고, .pyc 등 중간 형태의 파일을 활용하여 백\r\n신 탐지를 우회하려는 시도를 하였다.\r\n이처럼 악성코드는 점점 더 다양한 언어와 파일 형식으로 진화하고 있으며, 이에 따라 보안 체계 또한 정\r\n적 분석뿐 아니라 실행 환경 기반의 동적 분석 및 행동 기반 탐지 기능을 함께 갖추어야 한다.\r\n기술적 대응과 사용자 인식 제고가 병행될 때, 스피어피싱으로 인한 실질적인 피해를 효과적으로 줄일 수\r\n있을 것으로 판단된다.\r\n5. IoC\r\nURL\r\nfilezonekr.0911performance.de/YDYcezQ\r\nt.me/ADN_NEW_VER_BOT\r\nhttps://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/\r\nPage 19 of 20\n\npaste.rs/bAfkY\r\nlp2tpju9yrz2fklj.lone-none-1807.workers.dev\r\n0x0.st/8gPe.py\r\npaste.rs/7S7TJ7\r\nIP\r\n157.66.26.209 (베트남, TRUMVPS COMPANY LIMITED)\r\nHash\r\n28F12E7F6631DC368A4A2887B9E685E0 위반_게시물_목록_상세_자료.zip\r\n6675E81AB020AB4568E1D7BBDC99C4E8 version.dll\r\nSource: https://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/\r\nhttps://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/\r\nPage 20 of 20",
	"extraction_quality": 1,
	"language": "KO",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://blog.plainbit.co.kr/sanae-yuib-seupieopising-meil-bunseog/"
	],
	"report_names": [
		"sanae-yuib-seupieopising-meil-bunseog"
	],
	"threat_actors": [
		{
			"id": "0661a292-80f3-420b-9951-a50e03c831c0",
			"created_at": "2023-01-06T13:46:38.928796Z",
			"updated_at": "2026-04-10T02:00:03.148052Z",
			"deleted_at": null,
			"main_name": "IRIDIUM",
			"aliases": [],
			"source_name": "MISPGALAXY:IRIDIUM",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "9f101d9c-05ea-48b9-b6f1-168cd6d06d12",
			"created_at": "2023-01-06T13:46:39.396409Z",
			"updated_at": "2026-04-10T02:00:03.312816Z",
			"deleted_at": null,
			"main_name": "Earth Lusca",
			"aliases": [
				"CHROMIUM",
				"ControlX",
				"TAG-22",
				"BRONZE UNIVERSITY",
				"AQUATIC PANDA",
				"RedHotel",
				"Charcoal Typhoon",
				"Red Scylla",
				"Red Dev 10",
				"BountyGlad"
			],
			"source_name": "MISPGALAXY:Earth Lusca",
			"tools": [
				"RouterGod",
				"SprySOCKS",
				"ShadowPad",
				"POISONPLUG",
				"Barlaiy",
				"Spyder",
				"FunnySwitch"
			],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "8941e146-3e7f-4b4e-9b66-c2da052ee6df",
			"created_at": "2023-01-06T13:46:38.402513Z",
			"updated_at": "2026-04-10T02:00:02.959797Z",
			"deleted_at": null,
			"main_name": "Sandworm",
			"aliases": [
				"IRIDIUM",
				"Blue Echidna",
				"VOODOO BEAR",
				"FROZENBARENTS",
				"UAC-0113",
				"Seashell Blizzard",
				"UAC-0082",
				"APT44",
				"Quedagh",
				"TEMP.Noble",
				"IRON VIKING",
				"G0034",
				"ELECTRUM",
				"TeleBots"
			],
			"source_name": "MISPGALAXY:Sandworm",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "7bd810cb-d674-4763-86eb-2cc182d24ea0",
			"created_at": "2022-10-25T16:07:24.1537Z",
			"updated_at": "2026-04-10T02:00:04.883793Z",
			"deleted_at": null,
			"main_name": "Sandworm Team",
			"aliases": [
				"APT 44",
				"ATK 14",
				"BE2",
				"Blue Echidna",
				"CTG-7263",
				"FROZENBARENTS",
				"G0034",
				"Grey Tornado",
				"IRIDIUM",
				"Iron Viking",
				"Quedagh",
				"Razing Ursa",
				"Sandworm",
				"Sandworm Team",
				"Seashell Blizzard",
				"TEMP.Noble",
				"UAC-0082",
				"UAC-0113",
				"UAC-0125",
				"UAC-0133",
				"Voodoo Bear"
			],
			"source_name": "ETDA:Sandworm Team",
			"tools": [
				"AWFULSHRED",
				"ArguePatch",
				"BIASBOAT",
				"Black Energy",
				"BlackEnergy",
				"CaddyWiper",
				"Colibri Loader",
				"Cyclops Blink",
				"CyclopsBlink",
				"DCRat",
				"DarkCrystal RAT",
				"Fobushell",
				"GOSSIPFLOW",
				"Gcat",
				"IcyWell",
				"Industroyer2",
				"JaguarBlade",
				"JuicyPotato",
				"Kapeka",
				"KillDisk.NCX",
				"LOADGRIP",
				"LOLBAS",
				"LOLBins",
				"Living off the Land",
				"ORCSHRED",
				"P.A.S.",
				"PassKillDisk",
				"Pitvotnacci",
				"PsList",
				"QUEUESEED",
				"RansomBoggs",
				"RottenPotato",
				"SOLOSHRED",
				"SwiftSlicer",
				"VPNFilter",
				"Warzone",
				"Warzone RAT",
				"Weevly"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "75455540-2f6e-467c-9225-8fe670e50c47",
			"created_at": "2022-10-25T16:07:23.740266Z",
			"updated_at": "2026-04-10T02:00:04.732992Z",
			"deleted_at": null,
			"main_name": "Iridium",
			"aliases": [],
			"source_name": "ETDA:Iridium",
			"tools": [
				"CHINACHOPPER",
				"China Chopper",
				"LazyCat",
				"Powerkatz",
				"SinoChopper",
				"reGeorg"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "156b3bc5-14b7-48e1-b19d-23aa17492621",
			"created_at": "2025-08-07T02:03:24.793494Z",
			"updated_at": "2026-04-10T02:00:03.634641Z",
			"deleted_at": null,
			"main_name": "COBALT ULSTER",
			"aliases": [
				"Boggy Serpens ",
				"ENT-11 ",
				"Earth Vetala ",
				"ITG17 ",
				"MERCURY ",
				"Mango Sandstorm ",
				"MuddyWater ",
				"STAC 1171 ",
				"Seedworm ",
				"Static Kitten ",
				"TA450 ",
				"TEMP.Zagros ",
				"UNC3313 ",
				"Yellow Nix "
			],
			"source_name": "Secureworks:COBALT ULSTER",
			"tools": [
				"CrackMapExec",
				"Empire",
				"FORELORD",
				"Koadic",
				"LaZagne",
				"Metasploit",
				"Mimikatz",
				"Plink",
				"PowerStats"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "a66438a8-ebf6-4397-9ad5-ed07f93330aa",
			"created_at": "2022-10-25T16:47:55.919702Z",
			"updated_at": "2026-04-10T02:00:03.618194Z",
			"deleted_at": null,
			"main_name": "IRON VIKING",
			"aliases": [
				"APT44 ",
				"ATK14 ",
				"BlackEnergy Group",
				"Blue Echidna ",
				"CTG-7263 ",
				"ELECTRUM ",
				"FROZENBARENTS ",
				"Hades/OlympicDestroyer ",
				"IRIDIUM ",
				"Qudedagh ",
				"Sandworm Team ",
				"Seashell Blizzard ",
				"TEMP.Noble ",
				"Telebots ",
				"Voodoo Bear "
			],
			"source_name": "Secureworks:IRON VIKING",
			"tools": [
				"BadRabbit",
				"BlackEnergy",
				"GCat",
				"NotPetya",
				"PSCrypt",
				"TeleBot",
				"TeleDoor",
				"xData"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "18a7b52d-a1cd-43a3-8982-7324e3e676b7",
			"created_at": "2025-08-07T02:03:24.688416Z",
			"updated_at": "2026-04-10T02:00:03.734754Z",
			"deleted_at": null,
			"main_name": "BRONZE UNIVERSITY",
			"aliases": [
				"Aquatic Panda",
				"Aquatic Panda ",
				"CHROMIUM",
				"CHROMIUM ",
				"Charcoal Typhoon",
				"Charcoal Typhoon ",
				"Earth Lusca",
				"Earth Lusca ",
				"FISHMONGER ",
				"Red Dev 10",
				"Red Dev 10 ",
				"Red Scylla",
				"Red Scylla ",
				"RedHotel",
				"RedHotel ",
				"Tag-22",
				"Tag-22 "
			],
			"source_name": "Secureworks:BRONZE UNIVERSITY",
			"tools": [
				"Cobalt Strike",
				"Fishmaster",
				"FunnySwitch",
				"Spyder",
				"njRAT"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "3da47784-d268-47eb-9a0d-ce25fdc605c0",
			"created_at": "2025-08-07T02:03:24.692797Z",
			"updated_at": "2026-04-10T02:00:03.72967Z",
			"deleted_at": null,
			"main_name": "BRONZE VAPOR",
			"aliases": [
				"Chimera ",
				"DEV-0039 ",
				"Thorium ",
				"Tumbleweed Typhoon "
			],
			"source_name": "Secureworks:BRONZE VAPOR",
			"tools": [
				"Acehash",
				"CloudDrop",
				"Cobalt Strike",
				"Mimikatz",
				"STOCKPIPE",
				"Sharphound",
				"Watercycle"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "6abcc917-035c-4e9b-a53f-eaee636749c3",
			"created_at": "2022-10-25T16:07:23.565337Z",
			"updated_at": "2026-04-10T02:00:04.668393Z",
			"deleted_at": null,
			"main_name": "Earth Lusca",
			"aliases": [
				"Bronze University",
				"Charcoal Typhoon",
				"Chromium",
				"G1006",
				"Red Dev 10",
				"Red Scylla"
			],
			"source_name": "ETDA:Earth Lusca",
			"tools": [
				"Agentemis",
				"AntSword",
				"BIOPASS",
				"BIOPASS RAT",
				"BadPotato",
				"Behinder",
				"BleDoor",
				"Cobalt Strike",
				"CobaltStrike",
				"Doraemon",
				"FRP",
				"Fast Reverse Proxy",
				"FunnySwitch",
				"HUC Port Banner Scanner",
				"KTLVdoor",
				"Mimikatz",
				"NBTscan",
				"POISONPLUG.SHADOW",
				"PipeMon",
				"RbDoor",
				"RibDoor",
				"RouterGod",
				"SAMRID",
				"ShadowPad Winnti",
				"SprySOCKS",
				"WinRAR",
				"Winnti",
				"XShellGhost",
				"cobeacon",
				"fscan",
				"lcx",
				"nbtscan"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "873a6c6f-a4d1-49b3-8142-4a147d4288ef",
			"created_at": "2022-10-25T16:07:23.455744Z",
			"updated_at": "2026-04-10T02:00:04.61281Z",
			"deleted_at": null,
			"main_name": "Chimera",
			"aliases": [
				"Bronze Vapor",
				"G0114",
				"Nuclear Taurus",
				"Operation Skeleton Key",
				"Red Charon",
				"THORIUM",
				"Tumbleweed Typhoon"
			],
			"source_name": "ETDA:Chimera",
			"tools": [
				"Agentemis",
				"Cobalt Strike",
				"CobaltStrike",
				"SkeletonKeyInjector",
				"cobeacon"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "d53593c3-2819-4af3-bf16-0c39edc64920",
			"created_at": "2022-10-27T08:27:13.212301Z",
			"updated_at": "2026-04-10T02:00:05.272802Z",
			"deleted_at": null,
			"main_name": "Earth Lusca",
			"aliases": [
				"Earth Lusca",
				"TAG-22",
				"Charcoal Typhoon",
				"CHROMIUM",
				"ControlX"
			],
			"source_name": "MITRE:Earth Lusca",
			"tools": [
				"Mimikatz",
				"PowerSploit",
				"Tasklist",
				"certutil",
				"Cobalt Strike",
				"Winnti for Linux",
				"Nltest",
				"NBTscan",
				"ShadowPad"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "b3e954e8-8bbb-46f3-84de-d6f12dc7e1a6",
			"created_at": "2022-10-25T15:50:23.339976Z",
			"updated_at": "2026-04-10T02:00:05.27483Z",
			"deleted_at": null,
			"main_name": "Sandworm Team",
			"aliases": [
				"Sandworm Team",
				"ELECTRUM",
				"Telebots",
				"IRON VIKING",
				"BlackEnergy (Group)",
				"Quedagh",
				"Voodoo Bear",
				"IRIDIUM",
				"Seashell Blizzard",
				"FROZENBARENTS",
				"APT44"
			],
			"source_name": "MITRE:Sandworm Team",
			"tools": [
				"Bad Rabbit",
				"Mimikatz",
				"Exaramel for Linux",
				"Exaramel for Windows",
				"GreyEnergy",
				"PsExec",
				"Prestige",
				"P.A.S. Webshell",
				"AcidPour",
				"VPNFilter",
				"Neo-reGeorg",
				"Cyclops Blink",
				"SDelete",
				"Kapeka",
				"AcidRain",
				"Industroyer",
				"Industroyer2",
				"BlackEnergy",
				"Cobalt Strike",
				"NotPetya",
				"KillDisk",
				"PoshC2",
				"Impacket",
				"Invoke-PSImage",
				"Olympic Destroyer"
			],
			"source_id": "MITRE",
			"reports": null
		}
	],
	"ts_created_at": 1775434572,
	"ts_updated_at": 1775792228,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/fb5018ee8607de197e23dc8c4b40bdbe84e83dbc.pdf",
		"text": "https://archive.orkl.eu/fb5018ee8607de197e23dc8c4b40bdbe84e83dbc.txt",
		"img": "https://archive.orkl.eu/fb5018ee8607de197e23dc8c4b40bdbe84e83dbc.jpg"
	}
}