링크 파일(*.lnk)을 통해 유포되는 RokRAT 악성코드 : RedEyes(ScarCruft)
Contents
AhnLab Security Emergency response Center(ASEC)은 지난 달 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드를 유포한 RedEyes 공격 그룹(also known as APT37, ScarCruft)이 최근 LNK 파일을 통해 RokRAT 악성코드를 유포하는 것을 확인하였다.
RokRAT 악성코드는 사용자 정보를 수집하고 추가 악성코드를 다운로드할 수 있는 악성코드로 과거 한글 문서 및 워드 문서를 통해 유포된 이력이 존재한다. 이번에 확인된 LNK 파일은 내부에 파워쉘 명령어를 포함하고 있으며 temp 경로에 정상 파일과 함께 스크립트 파일을 생성 및 실행하여 악성 행위를 수행한다. 확인된 LNK 파일명은 다음과 같다.
- 230407정보지.lnk
- 2023년도 4월 29일 세미나.lnk
- 2023년도 개인평가 실시.hwp.lnk
- 북 외교관 선발파견 및 해외공관.lnk
- 북한외교정책결정과정.lnk
‘230407정보지.lnk’ 파일은 PDF 아이콘으로 위장하고 있으며 악성 파워쉘 명령어를 포함하고 있다.
LNK 파일 내부에는 파워쉘 명령어 뿐만 아니라 정상 PDF 파일 데이터와 악성 스크립트 코드가 존재한다. 또한, 0x89D9A 위치부터 파일 끝까지 0x141702A 크기 만큼의 더미 바이트가 존재한다.
LNK 파일 실행 시 cmd.exe를 통해 실행되는 파워쉘 명령어는 다음과 같다.
|
|
/c powershell -windowstyle hidden $dirPath = Get-Location; if($dirPath -Match ‘System32’ -or $dirPath -Match …
RokRAT 악성코드는 사용자 정보를 수집하고 추가 악성코드를 다운로드할 수 있는 악성코드로 과거 한글 문서 및 워드 문서를 통해 유포된 이력이 존재한다. 이번에 확인된 LNK 파일은 내부에 파워쉘 명령어를 포함하고 있으며 temp 경로에 정상 파일과 함께 스크립트 파일을 생성 및 실행하여 악성 행위를 수행한다. 확인된 LNK 파일명은 다음과 같다.
- 230407정보지.lnk
- 2023년도 4월 29일 세미나.lnk
- 2023년도 개인평가 실시.hwp.lnk
- 북 외교관 선발파견 및 해외공관.lnk
- 북한외교정책결정과정.lnk
‘230407정보지.lnk’ 파일은 PDF 아이콘으로 위장하고 있으며 악성 파워쉘 명령어를 포함하고 있다.
LNK 파일 내부에는 파워쉘 명령어 뿐만 아니라 정상 PDF 파일 데이터와 악성 스크립트 코드가 존재한다. 또한, 0x89D9A 위치부터 파일 끝까지 0x141702A 크기 만큼의 더미 바이트가 존재한다.
LNK 파일 실행 시 cmd.exe를 통해 실행되는 파워쉘 명령어는 다음과 같다.
|
|
/c powershell -windowstyle hidden $dirPath = Get-Location; if($dirPath -Match ‘System32’ -or $dirPath -Match …
IoC
0f5eeb23d701a2b342fc15aa90d97ae0
461ce7d6c6062d1ae33895d1f44d98fb
657fd7317ccde5a0e0c182a626951a9f
8fef5eb77e0a9ef2f97591d4d150a363
aa8ba9a029fa98b868be66b7d46e927b
be32725e676d49eaa11ff51c61f18907
https://1drv.ms/i/s!AhXEXLJSNMPTbfzgUMxNbInC6
https://1drv.ms/u/s!Au2my1xh6t8XgR2Mzms8nhRwo-6B?e=jHHC6y
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRiZnpnVU14TmJJbkM2Q0k_ZT1WZElLSjE/root/content
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBdTJteTF4aDZ0OFhnUjJNem1zOG5oUndvLTZCP2U9akhIQzZ5/root/content
461ce7d6c6062d1ae33895d1f44d98fb
657fd7317ccde5a0e0c182a626951a9f
8fef5eb77e0a9ef2f97591d4d150a363
aa8ba9a029fa98b868be66b7d46e927b
be32725e676d49eaa11ff51c61f18907
https://1drv.ms/i/s!AhXEXLJSNMPTbfzgUMxNbInC6
https://1drv.ms/u/s!Au2my1xh6t8XgR2Mzms8nhRwo-6B?e=jHHC6y
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRiZnpnVU14TmJJbkM2Q0k_ZT1WZElLSjE/root/content
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBdTJteTF4aDZ0OFhnUjJNem1zOG5oUndvLTZCP2U9akhIQzZ5/root/content