학술논문으로 위장하여 유포 중인 RokRAT 악성코드 주의!
Contents
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
현재 기고 중인 국방 분야 학술논문으로 위장하여 RokRAT 악성코드를 유포하는 공격이 발견되어 관련자 분들의 각별한 주의가 필요합니다.
학술 논문으로 위장한 악성 파일은 LNK (바로가기) 파일로 내부에 파워쉘 코드가 포함되어 있습니다.
LNK 파일이 실행되면, 파워쉘 명령어를 통해 LNK 파일에 내장된 여러 파일이 추출 및 생성됩니다.
이 과정에서 LNK 파일과 동일한 경로에 디코이 PDF 파일이 생성되며, %TEMP% 폴더에는 toy01.dat, toy02.dat, toy03.bat 파일이 생성됩니다.
| 파일명 | 오프셋 | 사이즈 | 행위 |
| (LNK파일명).pdf | 0x000010E4 | 0x2A7965 | 디코이 파일 |
| toy01.dat | 0x002A8A49 | 0xD9190 | 인코딩된 RokRAT 악성코드 |
| toy02.dat | 0x00381BD9 | 0x634 | toy01.dat 파일 실행 |
| toy03.bat | 0x0038220D | 0x14C | toy02.dat 파일 실행 |
[표 1] 생성된 파일 목록
파일 생성이 끝나면 생성된 PDF 파일과 toy03.bat 파일을 실행한 뒤 LNK 파일은 자가 삭제됩니다.
실행된 PDF 파일은 디코이(미끼 파일) 파일로 사용된 정상 파일이며, 이로 인해 사용자는 논문 파일이 실행된 것으로 착각하고 감염 사실을 인지하지 못하게 됩니다.
toy03.bat 파일은 파워쉘을 통해 toy.02.dat …
현재 기고 중인 국방 분야 학술논문으로 위장하여 RokRAT 악성코드를 유포하는 공격이 발견되어 관련자 분들의 각별한 주의가 필요합니다.
학술 논문으로 위장한 악성 파일은 LNK (바로가기) 파일로 내부에 파워쉘 코드가 포함되어 있습니다.
LNK 파일이 실행되면, 파워쉘 명령어를 통해 LNK 파일에 내장된 여러 파일이 추출 및 생성됩니다.
이 과정에서 LNK 파일과 동일한 경로에 디코이 PDF 파일이 생성되며, %TEMP% 폴더에는 toy01.dat, toy02.dat, toy03.bat 파일이 생성됩니다.
| 파일명 | 오프셋 | 사이즈 | 행위 |
| (LNK파일명).pdf | 0x000010E4 | 0x2A7965 | 디코이 파일 |
| toy01.dat | 0x002A8A49 | 0xD9190 | 인코딩된 RokRAT 악성코드 |
| toy02.dat | 0x00381BD9 | 0x634 | toy01.dat 파일 실행 |
| toy03.bat | 0x0038220D | 0x14C | toy02.dat 파일 실행 |
[표 1] 생성된 파일 목록
파일 생성이 끝나면 생성된 PDF 파일과 toy03.bat 파일을 실행한 뒤 LNK 파일은 자가 삭제됩니다.
실행된 PDF 파일은 디코이(미끼 파일) 파일로 사용된 정상 파일이며, 이로 인해 사용자는 논문 파일이 실행된 것으로 착각하고 감염 사실을 인지하지 못하게 됩니다.
toy03.bat 파일은 파워쉘을 통해 toy.02.dat …
IoC
723f80d1843315717bc56e9e58e89be5
5673019b36eca2cb5ce27f206f49b594
46ca088d5c052738d42bbd6231cc0ed5
2f431c4e65af9908d2182c6a093bf262
5673019b36eca2cb5ce27f206f49b594
46ca088d5c052738d42bbd6231cc0ed5
2f431c4e65af9908d2182c6a093bf262