lazarusholic

Everyday is lazarus.dayβ

"북한지 기고문"을 위장하여 유포된 LNK 악성코드

2024-03-21, SecuI
https://stic.secui.com/main/main/threatInfo?id=215
#APT37 #RokRAT #LNK

Contents

개요

지난 2월 22일 북한 관련 기고문으로 위장한 LNK 악성코드가 유포되었다. LNK 파일 내부에 PowerShell 스크립트와 쉘코드를 포함하여 RokRAT 악성코드를 실행한다. 해당 기법은 주로 한국의 기관을 공격 대상으로 삼는 APT37 그룹이 수년 전부터 사용해오던 방식이다. 최근 몇 달간 유사한 공격이 자주 포착되고 있어 주의가 필요하다.



악성코드 분석

Stage 1. 악성코드 유포

APT37 그룹의 과거 공격 사례들을 봤을 때, 이번 공격 역시 스피어 피싱 메일로 악성코드를 공격 대상에게 전달했을 것으로 추정된다. 파일명 “북한지 기고문 (1).zip”의 압축 파일 형태로 악성코드가 유포되었다.

[그림 1] 압축 파일 내 포함된 PDF 파일들과 LNK 악성코드



파일의 압축을 풀면 LNK(바로 가기) 파일 하나와 PDF 파일들이 들어있다. PDF 파일들은 정상 기고문 파일이며 악성코드인 LNK 파일을 실행을 유도하는 미끼로 사용됐다.



Stage 2. LNK를 활용한 Powershell 실행

LNK 파일을 실행하면 Command Line으로 PowerShell 스크립트를 실행한다. 가장 먼저 user32.dll에서 FindWindow(), ShowWindow() WinAPI를 불러와 PowerShell 창을 숨긴다.


[그림 2] PowerShell 윈도우를 숨기는 스크립트



그리고 작업 디렉토리를 %temp%로 변경한 뒤 LNK 파일 데이터를 부분적으로 읽어와 4개의 파일을 생성하고 working.bat …

IoC

4f5d8bb87b68b943c1e4f05c12a8c0836dc7744bc4e7868c6189cbd5881c2d79
cbc777d1e018832790482e6fd82ab186ac02036c231f10064b14ff1d81832f13
e914f39c7800f87e99ca4821c7a6d4ac580d99b5d70bea54d17c2b6e862b2de6