서문
2025년 11월, Elastic 보안 연구소는 동남아시아에 기반을 둔 다국적 조직에 영향을 미치는 침입을 관찰했습니다. 이 활동을 분석하는 동안 저희 팀은 BADIIS 멀웨어를 Windows 웹 서버에 배포하는 데 사용되는 다양한 침해 후 기법과 툴링을 관찰했습니다. 이러한 관찰 결과는 작년에 Cisco Talos와 Trend Micro에서 발표한 이전 보고서와 일치합니다.
이 위협 그룹은 더 많은 피해자를 확보하고 있으며 전 세계 여러 국가에서 대규모 SEO 중독 작전을 조정하고 있습니다. 캠페인의 가시성은 온라인 도박 플랫폼 및 암호화폐 사기 등 광범위한 불법 웹사이트 네트워크로 사용자를 리디렉션하여 손상된 서버에서 수익을 창출하도록 설계된 복잡한 지역 타겟 인프라를 나타냅니다.
핵심 사항
- Elastic Security Labs는 전 세계적으로 1,800개 이상의 Windows 서버에 영향을 미치는 BADIIS 멀웨어로 IIS 서버를 표적으로 하는 대규모 SEO 포이즈닝 캠페인을 관찰했습니다.
- 손상된 서버는 도박 광고 및 기타 불법 웹사이트로 사용자를 타겟팅하는 데 사용되는 인프라 웹을 통해 수익을 창출합니다.
- 피해자 인프라에는 호주, 방글라데시, 브라질, 중국, 인도, 일본, 한국, 리투아니아, 네팔, 베트남의 정부, 다양한 기업 조직, 교육 기관이 포함됩니다.
- 이 활동은 지난 10월 Cisco Talos에서 식별한 위협 그룹 UAT-8099와 일치하며, 트렌드마이크로의 이전 보고와 일치합니다.
캠페인 개요
REF4033은 중국어를 사용하는 사이버 범죄 그룹으로, 전 세계 1,800개 이상의 Windows 웹 서버를 손상시킨 대규모 조직적인 SEO 중독 캠페인의 배후에 BADIIS라는 악성 IIS 모듈을 사용하고 있습니다.
캠페인은 2단계 프로세스를 통해 운영됩니다:
- 첫째, 검색 엔진 크롤러에 키워드로 채워진 HTML을 제공하여 검색 결과를 오염시킵니다.
- 다음으로, 피해자를 불법 도박 플랫폼, 음란물, 업비트 거래소의 사기 복제품과 같은 정교한 암호화폐 피싱 사이트( ")로 리디렉션하여" 악덕 경제로 유도합니다.
이 그룹은 웹 서버의 요청 처리 파이프라인에 직접 통합되는 악성 IIS 모듈인 BADIIS 멀웨어를 배포하여 합법적인 정부, 교육 및 기업 도메인의 웹 서버를 하이재킹합니다. 이 높은 평판의 인프라는 검색 엔진 순위를 조작하는 데 사용되어 공격자가 웹 트래픽을 가로채고 광범위한 금융 사기를 조장할 수 있게 합니다.
침입 활동
2025년 11월, Elastic 보안 연구소는 알 수 없는 공격 벡터로부터 Windows IIS 서버의 침해 후 활동을 관찰했습니다. 이 위협 행위자는 빠르게 움직여 초기 액세스에서 IIS 모듈 배포까지 단 몇 분( 17 ) 만에 진행했습니다. 초기 열거는 IIS 작업자 프로세스(w3wp.exe)에서 실행되는 웹셸을 통해 수행되었습니다. 공격자는 초기 검색을 수행한 후 새 사용자 계정을 만들었습니다.
계정이 생성되어 관리자 그룹에 추가된 직후, Elastic Defend는 새로 생성된 Windows 서비스( WalletServiceInfo)와 관련된 몇 가지 알림을 생성했습니다. 이 서비스는 서명되지 않은 ServiceDLL(C:\ProgramData\Microsoft\Windows\Ringtones\CbsMsgApi.dll)을 로드한 후 모듈에서 직접 시스템 호출을 실행했습니다.
다음으로, 위협 행위자가 D-Shield 방화벽이라는 프로그램을 사용하여 액세스를 강화하는 것을 확인했습니다. 이 소프트웨어는 예방적 보호 및 네트워크 제한을 추가하는 기능을 포함하여 IIS 서버를 위한 추가 보안 기능을 제공합니다. 조사를 진행하기 위해 로더(C:\ProgramData\Microsoft\Windows\Ringtones\CbsMsgApi.exe)의 관찰된 임파시(1e4b23eee1b96b0cc705da1e7fb9e2f3)를 사용하여 VirusTotal에서 분석을 위한 로더 샘플을 확보했습니다.
이 로더가 사용하는 악성 DLL의 샘플을 수집하기 위해 이름(CbsMsgApi.dll)에 대해 VirusTotal 검색을 수행했습니다. 동일한 파일명을 사용하여 제출된 7 샘플을 발견했습니다. 이 배후 그룹은 2024년 9월부터 유사한 코드베이스를 사용하고 있는 것으로 보입니다. 이러한 샘플의 대부분은 상용 코드 난독화 프레임워크인 VMProtect를 사용하여 정적 및 동적 분석을 방해합니다. 다행히도 저희는 이 공격 체인에 대한 추가 인사이트를 얻기 위해 보호되지 않은 오래된 샘플을 사용했습니다.
코드 분석 - CbsMsgApi.exe
이 그룹은 공격자가 악성 IIS 모듈을 배포하기 위해 여러 파일을 준비해야 하는 공격 워크플로우를 사용합니다. 실행 체인은 PE 실행 파일( CbsMsgApi.exe)로 시작됩니다. 이 파일에는 PDB 문자열(C:\Users\Administrator\Desktop\替换配置文件\w3wpservice-svchost\x64\Release\CbsMsgApi.pdb)을 포함한 중국어 간체 문자열이 포함되어 있습니다.
실행 후 이 프로그램은 이 지속성 기법과 유사하게 svchost.exe 에서 실행되는 ServiceDLL(CbsMsgApi.dll)을 구성하는 Windows 서비스( WalletServiceinfo, )를 생성합니다.
새로 생성된 이 서비스는 다음 명령줄로 서비스의 보안 설명자를 수정하여 스텔스 및 변조 방지에 중점을 둡니다:
sc sdset "WalletServiceInfo" "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"코드 분석 - CbsMsgApi.dll
이 공격 시퀀스의 주요 구성 요소는 ServiceDLL(CbsMsgApi.dll)입니다. 악성 DLL은 BADIIS IIS 네이티브 모듈을 스테이징하고 IIS 구성을 변경하여 DefaultAppPool의 요청 파이프라인에 로드합니다.
이 공격이 진행되는 동안 위협 행위자는 System32\drivers 폴더 내에 3개의 파일을 위장합니다:
C:\Windows\System32\drivers\WUDFPfprot.sysC:\Windows\System32\drivers\WppRecorderpo.sysC:\Windows\System32\drivers\WppRecorderrt.sys
이 파일 중 두 개(WppRecorderrt.sys, WppRecorderpo.sys)는 악성 32비트 / 64비트 BADIIS 모듈을 나타냅니다. 다른 파일(WUDFPfprot.sys)은 IIS의 기존 구성에 주입될 구성 요소를 나타냅니다. 아래는 분석에 사용된 구성 예시입니다. 주목할 만한 것은 모듈 이름 WsmRes64 입니다(이 DLL에 대한 자세한 내용은 아래의 IIS 모듈 분석(WsmRes32.dll / WsmRes64.dll) 섹션에 자세히 나와 있습니다):
<globalModules>
<add name="WsmRes64" image="C:\Windows\Microsoft.NET\Framework\WsmRes64.dll" preCondition="bitness64" />
</globalModules>
<modules>
<add name="WsmRes64" preCondition="bitness64" />
</modules>이 악성 코드는 CopyFileA 함수를 사용하여 가장된 파일의 콘텐츠를 .NET 디렉토리(C:\Windows\Microsoft.NET\Framework)로 이동합니다.
다음으로 멀웨어는 DefaultAppPool.config 파일을 구문 분석하여 각 노드를 검사하여 <globalModules> 및 <modules> 노드를 업데이트합니다. 이 모듈은 이전에 가장한 파일(WUDFPfprot.sys)의 구성 콘텐츠를 삽입하여 일련의 추가 작업을 통해 IIS 구성을 업데이트합니다.
아래는 새로 추가된 글로벌 모듈 항목의 예시로, BADIIS DLL을 참조합니다.
실행이 성공하면 BADIIS 모듈이 IIS 서버에 설치되고 w3wp.exe 작업자 프로세스에서 로드된 모듈로 표시됩니다.
IIS 모듈 분석(WsmRes32.dll/WsmRes64.dll)
다음 섹션에서는 BADIIS 모듈의 기능에 대해 설명합니다. 이러한 모듈은 사용자 에이전트 또는 리퍼러 헤더 값과 같은 기준에 따라 악성 SEO 콘텐츠의 조건부 삽입 또는 리디렉션을 용이하게 합니다. 이 기술은 정상적인 사용 중에는 악성 콘텐츠가 숨겨져 있으므로 모듈이 최대한 오랫동안 탐지되지 않도록 합니다.
초기화 시 모듈은 구성에 정의된 URL에서 콘텐츠를 다운로드합니다. 이러한 URL은 암호화된 형식으로 저장되며, ECB 모드에서 SM4 algorithm (중국 국가 표준 블록 암호)와 키 "1111111122222222” 을 사용하여 해독됩니다. 이전 샘플에서는 AES-128 ECB 알고리즘이 대신 사용되었습니다.
구성의 각 URL은 2단계 리소스가 포함된 정적 .txt 파일을 가리킵니다. 아래 목록에는 이러한 소스 파일과 구체적인 역할이 자세히 나와 있습니다:
| 구성 URL 예시 | 파일 이름 | 콘텐츠 설명 |
|---|---|---|
hxxp://kr.gotz003[.]com/krfml/krfmlip.txt | *fmlip.txt | 요청 필터링에 사용되는 서브넷을 나열하는 가짜 CSS 파일( google.css)을 가리키는 URL이 포함되어 있습니다. |
hxxp://kr.gotz003[.]com/krfml/krfmltz.txt | *fmltz.txt | 사용자 리디렉션에 사용되는 대상 URL에 대한 링크를 포함합니다. |
hxxp://kr.gotz003[.]com/krfml/krfmllj.txt | *fmllj.txt | 인젝션을 위한 악성 SEO 백링크 링크가 포함되어 있습니다. |
hxxp://kr.gotz003[.]com/krfml/krfmldz.txt | *fmldz.txt | SEO 콘텐츠 생성기 링크가 포함되어 있습니다. |
이러한 URL은 해당 국가 코드가 접두사로 붙은 지역별 파일을 가리킵니다. 위의 예는 한국(hxxp://kr.domain.com)에 초점을 맞춘 것이지만, 베트남(VN)과 같은 다른 지역에서도 파일 이름 앞에 "kr"(hxxp://vn.domain.com)이 아닌 "vn" 이 붙는 동일한 파일이 존재합니다.
BADIIS 모듈은 요청 처리 파이프라인 내에 등록되어 첫 번째 처리자이자 마지막 처리자로 자리매김합니다. 각 요청에 대해 모듈은 특정 속성을 확인하고 결과에 따라 인젝션 또는 리디렉션 전략을 선택합니다. 세 가지 유형의 주사가 있습니다:
| 출처 | 주입 방법 | 설명 |
|---|---|---|
*fmltz.txt | 전체 페이지 교체 | 진행률 표시줄 + 자동 리디렉션 + Google 애널리틱스 추적 기능이 있는 HTML 로더 |
*fmldz.txt | 전체 페이지 교체 | SEO 콘텐츠로 직접 연결되는 링크, 다음을 사용하여 구축 index.php?domain=<host>&uri=<original_link> |
*fmllj.txt | 인라인 주입 | 기존 응답에 <body> 또는 <html> 태그 뒤에 삽입된 SEO 백링크 |
봇 트래픽과 사람 트래픽을 구분하기 위해 모듈은 다음 리퍼러 및 사용자 에이전트 목록과 비교하여 확인합니다.
Referers: bing, google, naver, daum
사용자 에이전트 bingbot, Googlebot, Yeti, Daum
기본 인젝션 전략은 감염된 사이트의 합법적인 페이지에 액세스하는 검색 엔진 크롤러를 대상으로 합니다.
이 시나리오에서는 SEO 백링크가 보조 링크에서 검색되어 검색 엔진 봇이 크롤링할 페이지에 삽입됩니다. 감염된 페이지에 삽입되는 다운로드된 백링크는 주로 도메인 내의 다른 로컬 페이지를 대상으로 하며, 나머지는 감염된 다른 도메인의 페이지를 가리킵니다. 이는 서로 연결되어 검색 순위를 조작하는 대규모 사이트 네트워크를 만드는 링크 파밍 전략의 핵심 요소입니다.
백링크로 연결된 로컬 페이지는 감염된 도메인에 존재하지 않으므로 해당 페이지를 방문하면 404 오류가 발생합니다. 그러나 요청이 가로채지면 멀웨어는 상태 코드가 200 또는 3xx가 아닌지 여부와 브라우저의 사용자 에이전트가 크롤러 봇과 일치하는지 여부의 두 가지 조건을 확인합니다. 그렇다면 인프라에서 호스팅되는 SEO 페이지에서 콘텐츠를 다운로드하고(구성 URL의 *fmldz.txt 파일 링크를 통해) 200 응답 코드를 봇에 반환합니다. 이 대상 URL은 감염된 도메인 이름과 크롤러가 원래 액세스하려고 시도한 리소스를 포함하는 '도메인' 및 'uri' 매개 변수를 사용하여 작성됩니다.
마지막으로, 사용자가 존재하지 않는 페이지를 요청하고 멀웨어에 의해 리퍼러 헤더 값이 나열된 페이지에 도착하면 해당 페이지는 세 번째 유형의 콘텐츠인 로딩 바가 있는 랜딩 페이지로 대체됩니다. 이 페이지는 JavaScript를 사용하여 구성 링크를 통해 얻은 *fmltz.txt 파일에 포함된 링크로 사용자를 리디렉션합니다.
선택 사항으로 활성화하면 사용자 에이전트가 휴대폰과 일치하는 경우에만 요청이 실행되어 서버가 모바일 사용자만 타겟팅하도록 합니다.
모바일 사용자 에이전트 목록은 다음과 같습니다:
장치: iPhone, iPad, iPod, iOS, Android, uc (UC Browser), BlackBerry, HUAWEI
이 옵션이 활성화되어 있고 감염된 서버의 IP 주소가 *fmlip.txt 파일에서 다운로드한 google.css 파일의 서브넷 목록과 일치하는 경우 서버는 랜딩/리디렉션 페이지 대신 표준 SEO 콘텐츠를 제공합니다.
랜딩 페이지에는 리디렉션을 모니터링하기 위한 분석 태그(대상 지역에 따라 Google 애널리틱스 또는 바이두 통지)가 포함된 자바스크립트 코드가 포함되어 있습니다. 서버 IP 필터링을 사용하여 트래픽을 제한하는 정확한 이유는 아직 명확하지 않지만, 이러한 분석과 연계되어 SEO 목적으로 구현된 것으로 추측됩니다.
캠페인 전반에 걸쳐 다음과 같은 Google 태그를 확인했습니다:
G-2FK43E86ZMG-R0KHSLRZ7N
바이두 통지 태그도 있습니다:
B59ff1638e92ab1127b7bc76c7922245
캠페인 분석
URL 패턴의 유사성(<country_code>fml__.txt, <country_code>fml/index.php)을 기반으로 다음 도메인을 설정 서버로 사용하고 있는 2023년 중반의 오래된 캠페인을 발견했습니다.
tz123[.]apptz789[.]app
tz123[.]app 에 게시된 트렌드마이크로 바디아이스 캠페인 요약 IOC 목록에 공개되었습니다( 2024 ). ul_cache.dll 이라는 이름의 샘플에 대한 VT의 첫 제출 날짜를 기준으로 hxxp://tz789[.]app/brfmljs[.]txt 과 통신하며 일부는 파일 이름 WsmRes64.dll 으로도 제출됩니다. 이 명명 규칙은 이전 섹션에서 분석한 BADIIS 로더 컴포넌트와 일치합니다. VT에서 가장 먼저 발견된 샘플은 2023-12-12에 처음 제출되었습니다.
REF4033의 경우 인프라는 두 개의 기본 구성 서버로 분할됩니다.
- 최근 캠페인 (
gotz003[.]com): 현재 기본 구성 허브 역할을 합니다. 추가 분석 결과 국가 코드별로 분류된 5 활성 하위 도메인이 확인되었습니다:kr.gotz003[.]com(대한민국)vn.gotz003[.]com(베트남)cn.gotz003[.]com(중국)cnse.gotz003[.]com(중국)bd.gotz003[.]com(방글라데시)
- 레거시 인프라 (
jbtz003[.]com): 이전 캠페인 반복에 사용되었지만 여러 하위 도메인이 계속 운영되고 있습니다: br.jbtz003[.]com(브라질)vn.jbtz003[.]com(베트남)vnbtc.jbtz003[.]com(베트남)in.jbtz003[.]com(인도)cn.jbtz003[.]com(중국)jp.jbtz003[.]com(일본)pk.jbtz003[.]com(파키스탄)
최근의 캠페인은 사용자를 방대한 불법 웹사이트 네트워크로 리디렉션하여 손상된 서버에서 수익을 창출하는 것이 핵심입니다. 이 캠페인은 규제되지 않은 온라인 카지노, 음란물 스트리밍, 성매매 서비스에 대한 노골적인 광고 등 아시아 시청자를 대상으로 하는 악의적 경제에 집중적으로 투자하고 있습니다.
또한 직접적인 재정적 위협이 되기도 합니다. 한 예로, 국내 최대 암호화폐 거래소인 업비트를 사칭한 사기성 암호화폐 스테이킹 플랫폼( uupbit[.]top)이 있었습니다.
캠페인의 타겟팅 로직은 주로 침해된 인프라의 지리적 위치를 반영하여 서버의 위치와 사용자의 리디렉션 타겟 간의 상관관계를 설정합니다. 예를 들어, 중국에 있는 손상된 서버는 현지 도박 사이트로 트래픽을 유도하고, 한국에 있는 서버는 사기성 업비트 피싱 사이트로 리디렉션합니다. 이 패턴의 예외는 방글라데시의 인프라가 손상된 경우로, 공격자들은 현지가 아닌 베트남의 도박 사이트를 가리키도록 HTTP 리디렉션을 구성했습니다.
클러스터 전체에서 여러 가지 리디렉션 로딩 페이지가 관찰되었습니다. 아래는 베트남 피해 인프라를 대상으로 하는 샘플에 대한 사용자 리디렉션 템플릿의 예시입니다. 이 템플릿은 Google 태그를 사용하며 Cisco Talos의 UAT-8099 연구에 설명된 템플릿 중 하나와 매우 유사합니다.
피해자 클러스터에서 관찰된 보다 일관된 템플릿은 아래 스니펫, 특히 진행률 표시줄 로직에 나와 있습니다. 샘플은 CN 피해 인프라를 대상으로 하기 때문에 피해자 리디렉션을 추적하는 데 바이두 통지가 사용됩니다.
다음 목록의 백링크가 포함된 URL에서 손상된 서버의 여러 클러스터(일부 중복된 클러스터)를 발견했습니다:
http://kr.gotz001[.]com/lunlian/index.phphttp://se.gotz001[.]com/lunlian/index.phphttps://cn404.gotz001[.]com/lunlian/index.phphttps://cnse.gotz001[.]com/lunlian/index.phphttps://cn.gotz001[.]com/lunlian/index.phphttps://cn.gotz001[.]com/lunlian/indexgov.phphttps://vn404.gotz001[.]com/lunlian/index.phphttps://vn.gotz001[.]com/lunlian/index.phphttp://bd.gotz001[.]com/lunlian/index.phphttp://vn.jbtz001[.]com/lunlian/index.phphttps://vnse.jbtz001[.]com/lunlian/index.phphttps://vnbtc.jbtz001[.]com/lunlian/index.phphttps://in.jbtz001[.]com/lunlian/index.phphttps://br.jbtz001[.]com/lunlian/index.phphttps://cn.jbtz001[.]com/lunlian/index.phphttps://jp.jbtz001[.]com/lunlian/index.phphttps://pk.jbtz001[.]com/lunlian/index.php
REF4033의 범위 내에서 전 세계적으로 1800 서버가 영향을 받았으며, 중국과 베트남이 전체 감염된 서버 중 약 82개% (각각 46.1개% 및 35.8개%)를 차지하는 등 이번 캠페인은 APAC 지역에 지리적으로 집중된 것으로 나타났습니다. 인도(3.9%), 브라질(3.8%), 한국(3.4%)에서 2차 집중도가 관찰되었지만, 이는 전체 캠페인 공간의 일부에 불과합니다. 특히, 감염된 서버 중 약 30개(% )는 Amazon Web Services, Microsoft Azure, Alibaba Cloud, Tencent Cloud를 비롯한 주요 클라우드 플랫폼에 있습니다. 나머지 70명(% )의 피해자는 지역 통신사에 분산되어 있습니다.
피해자 프로필은 정부 기관, 교육 기관, 의료 서비스 제공업체, 이커머스 플랫폼, 미디어 매체, 금융 서비스 등 다양한 분야에 걸쳐 있으며, 이는 표적 공격이 아닌 대규모의 기회주의적 공격이 이루어지고 있음을 나타냅니다. 정부 및 공공 행정 시스템은 최소 8개국( 5 ,.gov.cn, .gov.br, .gov.bd, .gov.vn, .gov.in, .leg.br)에서 확인된 피해자 중 약 8% 명을 대표합니다.
REF4033을 통해 MITRE ATT&CK
Elastic은 위협이 엔터프라이즈 네트워크에 대해 사용하는 일반적인 전술, 기술 및 절차를 문서화하기 위해 MITRE ATT& CK 프레임워크를 사용합니다.
전술
전술은 기술 또는 하위 기술의 이유를 나타냅니다. 이는 적의 전술적 목표, 즉 행동을 수행하는 이유입니다.
기술
기술은 공격자가 행동을 수행하여 전술적 목표를 달성하는 방법을 나타냅니다.
- 공개 애플리케이션 공격
- 서버 소프트웨어 구성 요소: IIS 구성 요소
- 계정 만들기: 로컬 계정
- 시스템 프로세스 생성 또는 수정 Windows 서비스
- 하이재킹 실행 흐름: 서비스 레지스트리 권한 취약점
- 난독화된 파일 또는 정보: 소프트웨어 패킹
- 가장: 합법적인 이름 또는 위치 일치
- 시스템 정보 검색
REF4033 수정
예방
- 의심스러운 Microsoft IIS 작업자 자손
- 토큰 가장을 통한 잠재적인 권한 확대
- SeImpersonatePrivilege를 통한 권한 에스컬레이션
- 서명되지 않은 모듈에서 직접 시스콜하기
- 의심스러운 Windows 서비스 DLL 생성
- 의심스러운 Svchost 레지스트리 수정
- 보안 계정 관리자(SAM) 레지스트리 액세스
YARA
Elastic Security는 이 활동을 식별하기 위해 YARA 규칙을 만들었습니다.
관찰
이 연구에서는 다음과 같은 관찰 가능성에 대해 논의했습니다.
| 관측 가능합니다. | 유형 | 이름 | 참조 |
|---|---|---|---|
055bdcaa0b69a1e205c931547ef863531e9fdfdaac93aaea29fb701c7b468294 | SHA-256 | CbsMsgApi.exe | 서비스 설치 관리자 |
2340f152e8cb4cc7d5d15f384517d756a098283aef239f8cbfe3d91f8722800a | SHA-256 | CbsMsgApi.dll | ServiceDLL |
c2ff48cfa38598ad514466673b506e377839d25d5dfb1c3d88908c231112d1b2 | SHA-256 | CbsMsgApi.dll | ServiceDLL |
7f2987e49211ff265378349ea648498042cd0817e131da41156d4eafee4310ca | SHA-256 | D_Safe_Manage.exe | D-Shield 방화벽 |
1b723a5f9725b607926e925d1797f7ec9664bb308c9602002345485e18085b72 | SHA-256 | WsmRes64.idx | 64비트 BADIIS 모듈 |
1f9e694cac70d089f549d7adf91513f0f7e1d4ef212979aad67a5aea10c6d016 | SHA-256 | WsmRes64.idx2.sc | 64비트 BADIIS 모듈 |
c5abe6936fe111bbded1757a90c934a9e18d849edd70e56a451c1547688ff96f | SHA-256 | WsmRes32.idx | 32비트 BADIIS 모듈 |
gotz003[.]com | 도메인 이름 | BADIIS 구성 서버(기본) | |
jbtz003[.]com | 도메인 이름 | BADIIS 구성 서버(레거시) | |
gotz001[.]com | 도메인 이름 | BADIIS SEO 콘텐츠 및 백링크 서버(기본) | |
jbtz001[.]com | 도메인 이름 | BADIIS SEO 콘텐츠 및 백링크 서버(기본) |
참고 자료
위의 조사에서 참조한 내용은 다음과 같습니다: