북한 해킹 단체 APT 37((리퍼,Reaper)에서 만든 RokRAT 악성코드-250615_양곡판매소 운영 현황.hwp(2025,06,18)
Contents
오늘은 북한 해킹 단체 APT 37(리퍼, Reaper)에서 만든 RokRAT 악성코드인 250615_양곡판매소 운영 현황.hwp에 대해 알아보겠습니다.
일단 제목은 250615_양곡판매소 운영 현황.hwp 라고 되어져 있는 것을 확인을 할 수가 있으며 실제적으로는 북한 평양시 배급 관련 문서이며 데일리 어쩌고 저쩌고 작성되었져 있는 것으로 확인을 할 수가 있으며 당연히 RokRAT 이므로 대북 관계자 분들 그리고 대북 연구 하시는 분들을 대상을 하고 있다는 것을 생각이 가능하면 악성코드는 다음과 같이 분석을 할 수가 있습니다.
해쉬
파일명:250615_양곡판매소 운영 현황.hwp
사이즈:1 MB
MD5:47c1cfc2380c3fa6c8283160707544fb
SHA-1:f20674ffc0267222555a0a23b580ee00bdebda97
SHA-256:71620bd3d6462e901324f08e97bebd0ab0e186eb738a49cc055e201d54c2f93e
일단 해당 악성코드인 hwp 파일을 열어보면 다음과 같은 내용을 확인할 수가 있습니다.
250615_양곡판매소 5월 운영 현황
- 조사날짜:2025년 6월 1일
- 조사자:데일?엔?이
1) 평양시 서성구역 서천동 량곡판매소
가) 양곡판매소 운영 현황
일단 한국의 양곡관리법이 아니고 북한의 양곡판매현황(량곡판매현황)이라는 것을 확인을 할 수가 있으며 평양 시민의 배급 관련 내용인 것 같습니다.
문서 하단에는 [부록] 참고자료.docx 라는 하이퍼링크가 삽입되어 있으며 해당 연결 되는 주소는 다음과 같습니다.
hxxps://drive(.)proton(.)me/urls/DM0KM6GFYR#XNHR8(d)mrZUj6
해당 링크를 클릭할 때 TEMP 경로에 존재하는 ShellRunas.exe 실행 여부를 묻는 경고 창이 나타나며 사용자가 실행(Run)을 선택하면 악성코드에 감염이 진행됩니다.
해당 ShellRunas.exe는 공격자의 C2 서버에서 받아오는 것이 …
일단 제목은 250615_양곡판매소 운영 현황.hwp 라고 되어져 있는 것을 확인을 할 수가 있으며 실제적으로는 북한 평양시 배급 관련 문서이며 데일리 어쩌고 저쩌고 작성되었져 있는 것으로 확인을 할 수가 있으며 당연히 RokRAT 이므로 대북 관계자 분들 그리고 대북 연구 하시는 분들을 대상을 하고 있다는 것을 생각이 가능하면 악성코드는 다음과 같이 분석을 할 수가 있습니다.
해쉬
파일명:250615_양곡판매소 운영 현황.hwp
사이즈:1 MB
MD5:47c1cfc2380c3fa6c8283160707544fb
SHA-1:f20674ffc0267222555a0a23b580ee00bdebda97
SHA-256:71620bd3d6462e901324f08e97bebd0ab0e186eb738a49cc055e201d54c2f93e
일단 해당 악성코드인 hwp 파일을 열어보면 다음과 같은 내용을 확인할 수가 있습니다.
250615_양곡판매소 5월 운영 현황
- 조사날짜:2025년 6월 1일
- 조사자:데일?엔?이
1) 평양시 서성구역 서천동 량곡판매소
가) 양곡판매소 운영 현황
일단 한국의 양곡관리법이 아니고 북한의 양곡판매현황(량곡판매현황)이라는 것을 확인을 할 수가 있으며 평양 시민의 배급 관련 내용인 것 같습니다.
문서 하단에는 [부록] 참고자료.docx 라는 하이퍼링크가 삽입되어 있으며 해당 연결 되는 주소는 다음과 같습니다.
hxxps://drive(.)proton(.)me/urls/DM0KM6GFYR#XNHR8(d)mrZUj6
해당 링크를 클릭할 때 TEMP 경로에 존재하는 ShellRunas.exe 실행 여부를 묻는 경고 창이 나타나며 사용자가 실행(Run)을 선택하면 악성코드에 감염이 진행됩니다.
해당 ShellRunas.exe는 공격자의 C2 서버에서 받아오는 것이 …
IoC
217.60.37.55
71620bd3d6462e901324f08e97bebd0ab0e186eb738a49cc055e201d54c2f93e
47c1cfc2380c3fa6c8283160707544fb
f20674ffc0267222555a0a23b580ee00bdebda97
71620bd3d6462e901324f08e97bebd0ab0e186eb738a49cc055e201d54c2f93e
47c1cfc2380c3fa6c8283160707544fb
f20674ffc0267222555a0a23b580ee00bdebda97