스카크러프트 악성코드(Scarcruft ROKRAT): 새로운 유포 방식의 출현
Contents
보고서 제목: 스카크러프트 악성코드(Scarcruft ROKRAT): 새로운 유포 방식의 출현
✅ 보고서 요약:
- 최근 ScarCruft는 기존 LNK 기반 체인과 달리, HWP OLE 기반 Dropper·Loader 구조를 활용해 ROKRAT을 유포하는 새로운 공격 방식을 사용하고 있습니다.
- 보고서에서 언급된 세가지 사례 모두 ROR13 기반 API Resolving, XOR 기반 페이로드 복호화, 클라우드 서비스(pCloud, Yandex) 악용 등 과거 ScarCruft 캠페인에서 확인된 특징을 동일하게 공유합니다.
- Dropper와 Downloader는 파일 드랍, 환경 점검, 메모리 로딩 등 기능적 차이를 보이나, 최종적으로 ROKRAT을 메모리 상에서 실행한다는 점이 동일하게 나타납니다.
📌 ROKRAT 악성코드는 무엇인가요?
- 북한 배후의 APT 그룹 ScarCruft가 사용하는 ROKRAT 악성코드는 2017년에 처음 발견된 이후 최근까지 지속적으로 유포되고 있습니다.
- ScarCruft는 과거부터 LNK 파일을 통해 BAT 스크립트와 쉘코드를 드랍한 뒤 ROKRAT을 실행하는 공격 체인을 지속적으로 활용해 왔으며, S2W Threat Intelligence Center (TALON)은 이 과정에서 사용되는 주요 악성코드를 파일 타입에 따라 각각 DROKLINK, DROKBAT으로 명명하여 추적해 왔습니다.
- 그러나 최근에는 이러한 기존 공격 벡터와 달리, 한글(HWP) 문서의 OLE 객체에 Dropper와 Loader를 삽입하는 방식으로 ROKRAT을 유포하는 사례가 확인되었으며, …
✅ 보고서 요약:
- 최근 ScarCruft는 기존 LNK 기반 체인과 달리, HWP OLE 기반 Dropper·Loader 구조를 활용해 ROKRAT을 유포하는 새로운 공격 방식을 사용하고 있습니다.
- 보고서에서 언급된 세가지 사례 모두 ROR13 기반 API Resolving, XOR 기반 페이로드 복호화, 클라우드 서비스(pCloud, Yandex) 악용 등 과거 ScarCruft 캠페인에서 확인된 특징을 동일하게 공유합니다.
- Dropper와 Downloader는 파일 드랍, 환경 점검, 메모리 로딩 등 기능적 차이를 보이나, 최종적으로 ROKRAT을 메모리 상에서 실행한다는 점이 동일하게 나타납니다.
📌 ROKRAT 악성코드는 무엇인가요?
- 북한 배후의 APT 그룹 ScarCruft가 사용하는 ROKRAT 악성코드는 2017년에 처음 발견된 이후 최근까지 지속적으로 유포되고 있습니다.
- ScarCruft는 과거부터 LNK 파일을 통해 BAT 스크립트와 쉘코드를 드랍한 뒤 ROKRAT을 실행하는 공격 체인을 지속적으로 활용해 왔으며, S2W Threat Intelligence Center (TALON)은 이 과정에서 사용되는 주요 악성코드를 파일 타입에 따라 각각 DROKLINK, DROKBAT으로 명명하여 추적해 왔습니다.
- 그러나 최근에는 이러한 기존 공격 벡터와 달리, 한글(HWP) 문서의 OLE 객체에 Dropper와 Loader를 삽입하는 방식으로 ROKRAT을 유포하는 사례가 확인되었으며, …