[Malware analysis] 4.[아태연구]논문투고규정.docx

[Malware analysis] 4.[아태연구]논문투고규정.docx

참조

> https://www.boannews.com/media/view.asp?idx=90918

> https://blog.alyac.co.kr/3228?category=957259

개성공단 근무 경험자 관련 문서와 아태 지역의 학술 연구논문 투고문서 등을 사칭한 "탈륨(Thallium)"

사용자의 시스템 정보 수집 및 추가 악성코드를 다운로드 시도하는 악성코드이다.

보안뉴스 이슈 확인에 따른 분석으로 (그림 1)을 보면 워드문서를 사칭한 실행파일을 확인할 수 있다.

리소스데이터를 살펴보면 데이터를 숨겨둔 것을 확인할 수 있다.

(그림 1)

JUYFON 리소스를 불러오는 것을 확인할 수 있다.

(그림 2)

이후 임시 디렉토리에 " 4.[아태연구]논문투고규정.docx" 파일을 생성하는 것을 확인할 수 있다.

(그림 3)

파일 생성 후 파일에 데이터를 쓰는데 이후 확인 시 다른 행위는 없어 정상파일로 확인할 수 있었다.

(그림 4)

ShellExecute()을 이용하여 해당 파일을 실행하는데, 즉 워드파일로 위장한 .exe를 실행 시 실제로 워드파일이 실행하는 것이다.

(그림 5)

시스템의 정보를 수집하여 환경변수 "%appdata%Micoresoft\HNC" 디렉토리 아래 wct 파일로 저장하는 것을 확인할 수 있다.

(그림 6)

desktop filelist, 실행 중인 프로세스, 시스템 정보(OS ver, ip, Hostname 등)을 저장하는 것을 확인할 수 있다.

수집한 정보는 C2 서버로 전송하는 것을 확인할 수 있다.

URL : portable.epizy.com/img/png/post.php

IP : 185.27.134.213[GB]

(그림 7)