티스토리 뷰
금융관련 회의, 컨퍼런스 관련 내용으로 위장한 hwp악성코드가 새벽부터 토탈에 잡힘.
덕분에 어제하던 게임이나 마저 플레이 하려던 나의 계획이 무산된게 너무 화나서 대략적인 메모만 남김.
hwp는 post script를 이용하는 아주 익숙한 아이임.
- 금융안정 컨퍼런스 개최결과.hwp 내용
- 금융안정 컨퍼런스 개최결과.hwp 정보
- 국제금융체제 실무그룹 회의결과.hwp 내용
- 국제금융체제 실무그룹 회의결과.hwp 정보
-
스크립트 실행되면서 C2에서 DLL받아온 뒤 실행
받아온 DLL은 익숙한 문자열 "*dJU!*JE&!M@UNQ@" 이 존재하는 백도어 (Phandoor가 맞나? 기억이 가물가물)
애니웨이 악성행위 수행.
유포지는 이미 막힌듯.
쉘코드 및 추가분석내역은 나중에 시간날 때 따로...
IOC (MD5)
국제금융체제 실무그룹 회의결과.hwp : cf09201f02f2edb9c555942a2d6b01d4
금융안정 컨퍼런스 개최결과.hwp : 69ad5bd4b881d6d1fdb7b19939903e0b
C2
hxxps://tpddata.com/skins/skin-8.thm
hxxps://tpddata.com/skins/skin-6.thm
DLL
skin-8.thm (x86) : eb6275a24d047e3be05c2b4e5f50703d
skin-6.thm (x64) : a6d1424e1c33ac7a95eb5b92b923c511
DLL C2
hxxps://www.anlway.com/include/arc.search.class.php
hxxps://www.apshenyihl.com/include/arc.speclist.class.php
hxxps://www.ap8898.com/include/arc.search.class.php