RokRAT 악성코드를 유포하는 LNK 파일 (수료증 위장)
Contents
AhnLab SEcurity intelligence Center(ASEC)은 백도어 유형의 악성코드를 유포하는 비정상적인 크기의 링크 파일(*.LNK)이 꾸준히 유포되고 있음을 확인하였다. 최근 확인된 링크 파일(*.LNK)은 국내 사용자, 특히 대북 관련 인사를 대상으로 유포하는 것으로 확인된다. 확인된 LNK 파일명은 다음과 같다.
국가정보 아카데미 8기 통합과정 수료증(최종본).lnk
Gate access roster 2024.lnk
동북공정(미국의회조사국(CRS Report).lnk
설비목록.lnk
그림 1. 확인된 LNK 파일 속성
확인된 LNK 파일은 CMD를 통해 파워쉘을 실행하는 명령어가 삽입되어 있으며 지난해 게시한 ‘링크 파일(*.lnk)을 통해 유포되는 RokRAT 악성코드 : RedEyes(ScarCruft)’[1] 와 유사한 유형으로 확인된다. 해당 유형은 LNK 파일 내부에 정상 문서 파일과 스크립트 코드, 악성 PE 데이터를 포함하고 있는 것이 특징이다.
그림 2. LNK 파일에 포함된 PDF 파일과 스크립트 코드
악성코드의 간략한 동작 과정은 다음과 같다.
그림 3. 동작 구조
LNK 파일 실행 시 파워쉘 명령어가 실행되어 정상 문서 파일을 생성 및 실행한다.
그림 4. 생성된 정상 문서 파일
이후 %public% 폴더에 3개의 파일을 생성한다. 이때 생성되는 파일들의 이름과 기능은 다음과 같다.
파일명 LNK 파일 내 위치 기능
viewer.dat 0x2BC97 (size:0xD9402) 인코딩된 RokRAT 악성코드
search.dat 0x105099 (size:0x5AA) viewer.dat 파일 실행
find.bat 0x105643 (size:0x139) …
국가정보 아카데미 8기 통합과정 수료증(최종본).lnk
Gate access roster 2024.lnk
동북공정(미국의회조사국(CRS Report).lnk
설비목록.lnk
그림 1. 확인된 LNK 파일 속성
확인된 LNK 파일은 CMD를 통해 파워쉘을 실행하는 명령어가 삽입되어 있으며 지난해 게시한 ‘링크 파일(*.lnk)을 통해 유포되는 RokRAT 악성코드 : RedEyes(ScarCruft)’[1] 와 유사한 유형으로 확인된다. 해당 유형은 LNK 파일 내부에 정상 문서 파일과 스크립트 코드, 악성 PE 데이터를 포함하고 있는 것이 특징이다.
그림 2. LNK 파일에 포함된 PDF 파일과 스크립트 코드
악성코드의 간략한 동작 과정은 다음과 같다.
그림 3. 동작 구조
LNK 파일 실행 시 파워쉘 명령어가 실행되어 정상 문서 파일을 생성 및 실행한다.
그림 4. 생성된 정상 문서 파일
이후 %public% 폴더에 3개의 파일을 생성한다. 이때 생성되는 파일들의 이름과 기능은 다음과 같다.
파일명 LNK 파일 내 위치 기능
viewer.dat 0x2BC97 (size:0xD9402) 인코딩된 RokRAT 악성코드
search.dat 0x105099 (size:0x5AA) viewer.dat 파일 실행
find.bat 0x105643 (size:0x139) …
IoC
3114a3d092e269128f72cfd34812ddc8
35441efd293d9c9fb4788a3f0b4f2e6b
358122718ba11b3e8bb56340dbe94f51
68386fa9933b2dc5711dffcee0748115
6e5e5ec38454ecf94e723897a42450ea
b85a6b1eb7418aa5da108bc0df824fc0
bd07b927bb765ccfc94fadbc912b0226
bd98fe95107ed54df3c809d7925f2d2c
https://api.pcloud.com/getfilelink?path=%s&forcedownload=1&skipfilename=1
https://api.pcloud.com/uploadfile?path=%s&filename=%s&nopartial=1
https://cloud-api.yandex.net/v1/disk/resources/download?path=%s
https://cloud-api.yandex.net/v1/disk/resources/upload?path=%s&overwrite=%s
https://content.dropboxapi.com/2/files/download
https://content.dropboxapi.com/2/files/upload
[email protected]
[email protected]
[email protected]
[email protected]
35441efd293d9c9fb4788a3f0b4f2e6b
358122718ba11b3e8bb56340dbe94f51
68386fa9933b2dc5711dffcee0748115
6e5e5ec38454ecf94e723897a42450ea
b85a6b1eb7418aa5da108bc0df824fc0
bd07b927bb765ccfc94fadbc912b0226
bd98fe95107ed54df3c809d7925f2d2c
https://api.pcloud.com/getfilelink?path=%s&forcedownload=1&skipfilename=1
https://api.pcloud.com/uploadfile?path=%s&filename=%s&nopartial=1
https://cloud-api.yandex.net/v1/disk/resources/download?path=%s
https://cloud-api.yandex.net/v1/disk/resources/upload?path=%s&overwrite=%s
https://content.dropboxapi.com/2/files/download
https://content.dropboxapi.com/2/files/upload
[email protected]
[email protected]
[email protected]
[email protected]