Who Are You Mr.Dropper? (APT malware targeted at Korean financial institutions disguised as resume.)

English : I can't speak english! I got help from a Google translator.

 

한국의 H*캐피탈 회사를 타겟의 이력서로 위장한 악성코드가 발견되었다.

A malicious code disguised as a target resume of a Korean H * capital company was found.

 

악성코드는 64bit PE파일이며 파일에는 PDB Path가 존재한다.

The malicious code is a 64-bit PE file and a file PDB Path exists.

 

PDB Path : D:\Attack\DropperBuild\x64\Release\Dropper.pdb

파일이 실행되면 자신의 파일명을 확인한 뒤 첫번째 확장자를 비교해 파일을 드랍하고 실행한다. 이 악성파일은 엑셀 파일을 드랍하고 실행한다.

When the file is executed, it checks its file name, compares the first extension, drops the file, and executes it. This malicious file drops and executes the Excel file.

(정상적으로 실행되지 않아 임의로 엑셀문서를 복구하였다.)

(I did not execute it properly and I recovered the Excel document at will.)

드랍된 엑셀 파일은 한국의 H* 캐피탈 회사 이력서로 위장하고 있다.

The dropped Excel file is disguised as a resume of H * Capital Corporation in Korea.

이력서 파일을 실행하고 나면 C2에서 파일을 다운받아 실행한다.

(현재 연결되지 않음)

After running the resume file, download the file from C2 and run it.

(Currently not connected)

C2 : https://vnik[.]000webhostapp[.]com/1.txt

다시 추적을 시작하자!

OK! Let's TI Again!

IoC Information

MD5        db3e7c45d37a9bc6719fd7acf78d72ac

SHA-1        7ffe707e74a768ef96422fdf2e5e006f9b40ef75

SHA-256        ac23017efc19804de64317cbc90efd63e814b5bb168c300cfec4cfdedf376f4f

 

C2

https://vnik[.]000webhostapp[.]com/1.txt

 

과거에 발견된 유사 샘플

Similar samples found in the past.

 

Sample 1

MD5        dc4b68285265cdf9890e6396253d8509

SHA-1        9272a794b2abcd577ad95247e42d4c0172f9f9f9

SHA-256        26fc6fa6acc942d186a31dc62be0de5e07d6201bdff5d7b2f1a7521d1d909847

 

Sample 2

MD5        fb42ddf48bc581fb9aa8d13f1e4636d1

SHA-1        3cd40467d1066f19689585e5285f2a5cb233c113

SHA-256        8b6b4a0e0945c6daf3ebc8870e3bd37e54751f95162232d85dc0a0cc8bead9aa