iptime 공식 자료실 서버를 통한 유입으로, 사용자가 직접 사이트에 접속하여 클릭한 결과
[ 외부 파일 유입 ]
chrome.exe를 통해 contents.iptime.co.kr에서 드라이버 압축 파일(5.3 RTBlueR...zip) 다운로드
신버전의 블루투스 드라이버를 설치하려고 했음을 알 수 있음
사진에서 보이듯 Realtek Semiconductor Corp.의 유효한 디지털 서명이 확인
이는 파일이 변조되지 않았으며 신뢰할 수 있는 제조사에서 배포했음을 보증함
기존 설치 버전: 1038.1040.1040.211020
새로 받은 버전: 1051.1038.1040.33693
InstallShield Wizard가 실행되었으며, "시스템에 블루투스가 활성화되었는지 확인하십시오"라는 팝업 존재 확인
악성코드라면 이런 대화상자를 띄우지 않고 몰래 동작했을 것임
[ APT 장비 탐지 사유 ]
신뢰되지 않은 외부 도메인(contents.iptime.co.kr)에서의 .zip 유입
압축 파일 내부에 시스템 드라이버(*.sys, *.inf)와 실행 파일(setup.exe)이 포함되어 있어 탐지가 발생
'분석 보고서' 카테고리의 다른 글
| LaunchAclWait.exe (eBook) 탐지 분석 (정상) (0) | 2026.05.01 |
|---|---|
| 피싱 메일 유입 분석 (악성) (0) | 2026.04.29 |
| PDF 악성으로 탐지 건 분석 (정상 파일) (0) | 2026.04.27 |
| AdobeGenuineInstaller.exe ( 정상파일 ) 분석 (0) | 2026.04.21 |
| 한컴오피스 Installer ( 악성파일 ) 분석 (0) | 2026.04.21 |
