decmoon05/hancom-office-2024-malware-report
GitHub: decmoon05/hancom-office-2024-malware-report
该仓库记录了对非官方 Hancom Office 2024 重打包安装包中多阶段 PowerShell 下载器的静态分析过程与防御用 IOC 指标。
Stars: 0 | Forks: 0
# 非官方 Hancom Office 2024 重打包版本分析
这是一份未执行的静态分析记录,其中我们在通过非官方渠道分发的两个 Hancom Office 2024 安装 ZIP 文件中,确认了相同的多阶段 PowerShell 下载器组件。
- 被篡改的安装设置被配置为调用重命名的命令工具和 PowerShell
- 包含试图削弱 Microsoft Defender 设置的行为
- 滥用 Telegram、GitHub Gist、Mastodon 作为传递下一阶段地址的 dead drop resolver
- 已于 2026-07-13 提交至 Microsoft Security Intelligence,目前正在等待最终判定
完整内容请参阅[韩语分析报告](reports/2026-07-13-hancom-office-2024-repackaged-downloader-ko.md)。防御用指标已单独整理在[ IOC 列表](iocs/indicators.csv)中。
本次调查是独立于 Hancom、Microsoft、NirSoft 进行的。分析对象的产品名称和商标仅为文件所显示的名称,并不代表官方来源,且并不主张 Hancom 官方分发基础设施遭到入侵。
标签:AI合规, DAST, IPv6, OpenCanary, PowerShell, 云安全监控, 威胁情报, 开发者工具, 恶意软件分析, 木马下载器, 网络信息收集, 防御加固, 静态分析