안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
현재 기고 중인 국방 분야 학술논문으로 위장하여 RokRAT 악성코드를 유포하는 공격이 발견되어 관련자 분들의 각별한 주의가 필요합니다.
학술 논문으로 위장한 악성 파일은 LNK (바로가기) 파일로 내부에 파워쉘 코드가 포함되어 있습니다.
LNK 파일이 실행되면, 파워쉘 명령어를 통해 LNK 파일에 내장된 여러 파일이 추출 및 생성됩니다.
이 과정에서 LNK 파일과 동일한 경로에 디코이 PDF 파일이 생성되며, %TEMP% 폴더에는 toy01.dat, toy02.dat, toy03.bat 파일이 생성됩니다.
파일명 | 오프셋 | 사이즈 | 행위 |
(LNK파일명).pdf | 0x000010E4 | 0x2A7965 | 디코이 파일 |
toy01.dat | 0x002A8A49 | 0xD9190 | 인코딩된 RokRAT 악성코드 |
toy02.dat | 0x00381BD9 | 0x634 | toy01.dat 파일 실행 |
toy03.bat | 0x0038220D | 0x14C | toy02.dat 파일 실행 |
[표 1] 생성된 파일 목록
파일 생성이 끝나면 생성된 PDF 파일과 toy03.bat 파일을 실행한 뒤 LNK 파일은 자가 삭제됩니다.
실행된 PDF 파일은 디코이(미끼 파일) 파일로 사용된 정상 파일이며, 이로 인해 사용자는 논문 파일이 실행된 것으로 착각하고 감염 사실을 인지하지 못하게 됩니다.
toy03.bat 파일은 파워쉘을 통해 toy.02.dat 파일 내부의 스크립트 코드를 실행합니다.
toy.02.dat 파일은 toy01.dat 파일 내부의 데이터를 읽어와 해당 데이터의 각 바이트를 ‘1’(0x31) 과 XOR 연산을 이용해서 복호화 합니다.
복호화된 쉘코드(shellcode)는 스레드를 통해 메모리에 직접 로드되어 실행되며, 파일을 생성하지 않는 Fileless 방식으로 동작합니다.
최종 실행된 데이터는 RokRAT 악성코드로 확인되었으며, 해당 악성코드는 감염 PC의 시스템 정보와 사용자 정보를 수집하고 공격자의 명령에 따라 다양한 악성 행위를 수행할 수 있습니다.
또한 pcloud, yandex, DropBox 등과 같은 합법적인 클라우드 서비스를 C2로 활용하는 특징이 있습니다.
현재 알약에서 해당 악성코드에 대해 Trojan.Agent.LNK.Gen 으로 탐지하고 있습니다.
Ioc
2f431c4e65af9908d2182c6a093bf262
5673019b36eca2cb5ce27f206f49b594
46ca088d5c052738d42bbd6231cc0ed5
723f80d1843315717bc56e9e58e89be5
SVG 포맷으로 유포되는 악성코드 주의! (0) | 2025.03.13 |
---|---|
Kimsuky 그룹의 워터링 홀 공격, 통일 분야 교육 지원서를 위장한 악성 파일 유포 주의 (0) | 2025.03.07 |
텔레그램 계정을 노리는 스미싱 주의! (0) | 2025.02.18 |
北 해킹 조직, 거래처 업무 메일로 위장한 스피어 피싱 공격 주의! (0) | 2025.02.13 |
계정정보 탈취를 시도하는 피싱 공격 진행 중! 북 배후 추정 (0) | 2025.01.24 |
댓글 영역