악성 한글(.HWP) 문서를 이용한 RokRAT 악성코드 유포 주의
Contents
악성 한글(.HWP) 문서를 이용한 RokRAT 악성코드 유포 주의
최근 AhnLab SEcurity intelligence Center(ASEC)은 한글(HWP) 문서를 이용하여 RokRAT 악성코드가 유포되고 있는 정황을 확인하였다. RokRAT 악성코드는 일반적으로 바로가기(LNK) 파일 내부에 디코이 파일과 악성 스크립트를 포함하는 방식으로 유포되었다. 하지만 최근 LNK 파일을 사용하지 않고 한글 문서(HWP)를 통해 유포되는 사례가 확인되었다.
| 파일명 |
|---|
| 250615_양곡판매소 운영 현황.hwp |
| 최근 주요 포털 사이트 .hwpx |
| [회보] 부가가치세 1기(확정) 신고용 세금계산서 제출 안내.hwp |
[표 1] RokRAT 유포에 사용된 문서 파일명
그 중 ‘250615_양곡판매소 운영 현황.hwp’ 문서의 내용은 아래 그림과 같다.
[그림 1] 문서 내용
문서는 사용자의 의심을 피하기 위해, 파일명 ‘250615_양곡판매소 운영 현황’에 맞춰 북한의 양곡판매소 관련 내용을 다루고 있다.
[그림 2] ShallRunas.exe를 실행하는 하이퍼링크
문서 하단에는 ‘[부록] 참고자료.docx’라는 하이퍼링크가 삽입되어 있으며, 사용자가 해당 링크를 클릭할 경우 %TEMP% 경로에 존재하는 ShellRunas.exe 실행 여부를 묻는 경고 창이 노출된다. 사용자가 ‘실행(Run)’을 선택하면 악성코드에 감염된다. 해당 ShellRunas.exe는 공격자의 C2 서버에서 받아오는 것이 아닌 문서 내부에 OLE 객체 형태로 삽입되어 있으며, OLE 객체가 위치한 문서 페이지에 접근하면 …
최근 AhnLab SEcurity intelligence Center(ASEC)은 한글(HWP) 문서를 이용하여 RokRAT 악성코드가 유포되고 있는 정황을 확인하였다. RokRAT 악성코드는 일반적으로 바로가기(LNK) 파일 내부에 디코이 파일과 악성 스크립트를 포함하는 방식으로 유포되었다. 하지만 최근 LNK 파일을 사용하지 않고 한글 문서(HWP)를 통해 유포되는 사례가 확인되었다.
| 파일명 |
|---|
| 250615_양곡판매소 운영 현황.hwp |
| 최근 주요 포털 사이트 .hwpx |
| [회보] 부가가치세 1기(확정) 신고용 세금계산서 제출 안내.hwp |
[표 1] RokRAT 유포에 사용된 문서 파일명
그 중 ‘250615_양곡판매소 운영 현황.hwp’ 문서의 내용은 아래 그림과 같다.
[그림 1] 문서 내용
문서는 사용자의 의심을 피하기 위해, 파일명 ‘250615_양곡판매소 운영 현황’에 맞춰 북한의 양곡판매소 관련 내용을 다루고 있다.
[그림 2] ShallRunas.exe를 실행하는 하이퍼링크
문서 하단에는 ‘[부록] 참고자료.docx’라는 하이퍼링크가 삽입되어 있으며, 사용자가 해당 링크를 클릭할 경우 %TEMP% 경로에 존재하는 ShellRunas.exe 실행 여부를 묻는 경고 창이 노출된다. 사용자가 ‘실행(Run)’을 선택하면 악성코드에 감염된다. 해당 ShellRunas.exe는 공격자의 C2 서버에서 받아오는 것이 아닌 문서 내부에 OLE 객체 형태로 삽입되어 있으며, OLE 객체가 위치한 문서 페이지에 접근하면 …