정상 링크파일로 위장해 백도어 악성코드 RokRAT 유포
2023년 스카크러프트 국내 기업 보안 메일 사칭과 유사, 대북 관련 인사 노려
커맨드 명령 실행, 디렉터리 목록 수집 등 악성행위 수행, 공격자 클라우드에 정보 전송
[보안뉴스 박은주 기자] 최근 대북 관련 인사를 대상으로 백도어 악성코드 ‘RokRAT’를 유포하는 링크파일(LNK, 바로가기)이 발견됐다. 공격 내용을 살펴보면 2023년 북한 해킹그룹 스카크러프트(ScarCruft, 혹은 APT 37, RedEyes)가 국내 기업 보안 메일을 사칭해 악성코드를 유포한 유형과 비슷했다.
▲LNK 파일 속성[자료=ASEC]
악성코드 유포에 사용된 링크파일 이름은 △국가정보 아카데미 8기 통합과정 수료증(최종본).lnk △Gate access roster 2024.lnk △동북공정(미국의회조사국(CRS Report).lnk △설비목록.lnk 이다. 정상 파일로 위장하고 있으며, 크기가 비정상적이라는 특징이 있다. 링크파일에는 정상 문서 파일과 스크립트 코드, 악성 PE 데이터를 포함하고 있다.
▲생성된 정상 문서 파일[자료=ASEC]
안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 링크파일은 CMD를 통해 파워쉘을 실행하는 명령어가 삽입돼 있었다. 링크파일을 실행하면 파워쉘 명령어가 작동하고 정상 문서 파일을 생성 및 실행하게 된다.
▲RokRAT 동작 구조[자료=ASEC]
악성코드의 간략한 동작 과정은 위 표와 같다. 이후 ‘%public%’ 폴더에 △find.bat( search.dat 파일 실행) △search.dat(viewer.dat 파일 실행) △viewer.dat(인코딩된 RokRAT 악성코드) 3개 파일을 생성한다. 파일은 나열 순서대로 실행되며, 마지막에 실행되는 ‘viewer.dat’ 데이터가 RokRAT 악성코드이다.
RokRAT는 백도어 악성코드로 클라우드 API를 활용해 사용자 정보를 수집하고 공격자의 명령에 따라 다양한 악성 행위를 수행한다. ASEC가 분석한 결과 공격자 명령에 따라 실행할 수 있는 악성행위는 다음과 같다. △커맨드 명령 실행 △디렉터리 목록 수집 △시작프로그램 폴더 내 특정 파일(VBS, CMD, BAT, lnk 확장자) 삭제 △시작프로그램 폴더 목록, %APPDATA% 폴더 목록, 최근 사용한 파일 목록 수집 △PC 정보 수집(시스템 정보, IP, 라우터 정보 등) 등이다. 이 외에도 다양한 악성 행위가 수행될 수 있다.
▲사용되는 클라우드 URL 세부 정보[자료=ASEC]
수집된 정보는 %TEMP% 폴더에 저장 후 Pcloud, Yandex, DropBox와 같은 클라우드 서비스를 사용해 공격자 클라우드 서버로 전송된다. 이때 요청 헤더 User Agent는 구글봇으로 위장하고 있었다. ASEC 분석 과정에서 확인된 공격자의 이메일 주소는 다음과 같다.
-tanessha.samuel@gmail[.]com
-tianling0315@gmail[.]com
-w.sarah0808@gmail[.]com
-softpower21cs@gmail[.]com
링크파일을 악용한 악성코드 유포사례가 꾸준히 발견되고 있다. 특히 북한 해킹그룹 등 국내 통일, 군사, 교육 관련 종사자를 대상으로 하는 악성코드 감염이 이어지고 있어 각별한 주의가 필요하다.
[박은주 기자(boan5@boannews.com)]
2023년 스카크러프트 국내 기업 보안 메일 사칭과 유사, 대북 관련 인사 노려
커맨드 명령 실행, 디렉터리 목록 수집 등 악성행위 수행, 공격자 클라우드에 정보 전송
[보안뉴스 박은주 기자] 최근 대북 관련 인사를 대상으로 백도어 악성코드 ‘RokRAT’를 유포하는 링크파일(LNK, 바로가기)이 발견됐다. 공격 내용을 살펴보면 2023년 북한 해킹그룹 스카크러프트(ScarCruft, 혹은 APT 37, RedEyes)가 국내 기업 보안 메일을 사칭해 악성코드를 유포한 유형과 비슷했다.
▲LNK 파일 속성[자료=ASEC]
악성코드 유포에 사용된 링크파일 이름은 △국가정보 아카데미 8기 통합과정 수료증(최종본).lnk △Gate access roster 2024.lnk △동북공정(미국의회조사국(CRS Report).lnk △설비목록.lnk 이다. 정상 파일로 위장하고 있으며, 크기가 비정상적이라는 특징이 있다. 링크파일에는 정상 문서 파일과 스크립트 코드, 악성 PE 데이터를 포함하고 있다.
▲생성된 정상 문서 파일[자료=ASEC]
안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 링크파일은 CMD를 통해 파워쉘을 실행하는 명령어가 삽입돼 있었다. 링크파일을 실행하면 파워쉘 명령어가 작동하고 정상 문서 파일을 생성 및 실행하게 된다.
▲RokRAT 동작 구조[자료=ASEC]
악성코드의 간략한 동작 과정은 위 표와 같다. 이후 ‘%public%’ 폴더에 △find.bat( search.dat 파일 실행) △search.dat(viewer.dat 파일 실행) △viewer.dat(인코딩된 RokRAT 악성코드) 3개 파일을 생성한다. 파일은 나열 순서대로 실행되며, 마지막에 실행되는 ‘viewer.dat’ 데이터가 RokRAT 악성코드이다.
RokRAT는 백도어 악성코드로 클라우드 API를 활용해 사용자 정보를 수집하고 공격자의 명령에 따라 다양한 악성 행위를 수행한다. ASEC가 분석한 결과 공격자 명령에 따라 실행할 수 있는 악성행위는 다음과 같다. △커맨드 명령 실행 △디렉터리 목록 수집 △시작프로그램 폴더 내 특정 파일(VBS, CMD, BAT, lnk 확장자) 삭제 △시작프로그램 폴더 목록, %APPDATA% 폴더 목록, 최근 사용한 파일 목록 수집 △PC 정보 수집(시스템 정보, IP, 라우터 정보 등) 등이다. 이 외에도 다양한 악성 행위가 수행될 수 있다.
▲사용되는 클라우드 URL 세부 정보[자료=ASEC]
수집된 정보는 %TEMP% 폴더에 저장 후 Pcloud, Yandex, DropBox와 같은 클라우드 서비스를 사용해 공격자 클라우드 서버로 전송된다. 이때 요청 헤더 User Agent는 구글봇으로 위장하고 있었다. ASEC 분석 과정에서 확인된 공격자의 이메일 주소는 다음과 같다.
-tanessha.samuel@gmail[.]com
-tianling0315@gmail[.]com
-w.sarah0808@gmail[.]com
-softpower21cs@gmail[.]com
링크파일을 악용한 악성코드 유포사례가 꾸준히 발견되고 있다. 특히 북한 해킹그룹 등 국내 통일, 군사, 교육 관련 종사자를 대상으로 하는 악성코드 감염이 이어지고 있어 각별한 주의가 필요하다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
