악성 한글(.HWP) 문서를 이용한 RokRAT 악성코드 유포 주의

최근 AhnLab SEcurity intelligence Center(ASEC)은 한글(HWP) 문서를 이용하여 RokRAT 악성코드가 유포되고 있는 정황을 확인하였다. RokRAT 악성코드는 일반적으로 바로가기(LNK) 파일 내부에 디코이 파일과 악성 스크립트를 포함하는 방식으로 유포되었다. 하지만 최근 LNK 파일을 사용하지 않고 한글 문서(HWP)를 통해 유포되는 사례가 확인되었다.

 

파일명
250615_양곡판매소 운영 현황.hwp
최근 주요 포털 사이트 .hwpx
[회보] 부가가치세 1기(확정) 신고용 세금계산서 제출 안내.hwp

[표 1] RokRAT 유포에 사용된 문서 파일명

 

 

그 중 ‘250615_양곡판매소 운영 현황.hwp’ 문서의 내용은 아래 그림과 같다.

 

[그림 1] 문서 내용

 

문서는 사용자의 의심을 피하기 위해, 파일명 ‘250615_양곡판매소 운영 현황’에 맞춰 북한의 양곡판매소 관련 내용을 다루고 있다.

 

[그림 2] ShallRunas.exe를 실행하는 하이퍼링크

 

문서 하단에는 ‘[부록] 참고자료.docx’라는 하이퍼링크가 삽입되어 있으며, 사용자가 해당 링크를 클릭할 경우 %TEMP% 경로에 존재하는 ShellRunas.exe 실행 여부를 묻는 경고 창이 노출된다. 사용자가 ‘실행(Run)’을 선택하면 악성코드에 감염된다. 해당 ShellRunas.exe는 공격자의 C2 서버에서 받아오는 것이 아닌 문서 내부에 OLE 객체 형태로 삽입되어 있으며, OLE 객체가 위치한 문서 페이지에 접근하면 한글 프로세스에 의해 %TEMP% 경로에 자동으로 생성된다.

 

[그림 3] 한글 프로세스에 의해 자동 생성된 OLE 객체 (ShellRunas.exe, credui.dll)

 

공격자는 하이퍼링크 경로를 %TEMP%\ShellRunas.exe로 지정하여, 한글 프로세스에 의해 자동으로 생성된 ShellRunas.exe를 실행하게 한다. 또한 해당 문서에서 ShellRunas.exe에 해당하는 OLE객체 외에 credui.dll에 해당 하는 OLE 객체도 함께 삽입되어 있으며, %TEMP%폴더에 같이 생성되어진다. ShellRunas.exe는 Microsoft의 인증서로 서명된 정상 프로그램이다. 실행 시, 동일한 경로에 위치한 악성 DLL인 credui.dll이 DLL Side-Loading 기법에 의해 로드된다. 해당 유형의 공격에서 ShellRunas.exe 외에도, 공격자가 DLL Side-Loading 기법에 사용한 다른 정상 실행 파일들이 아래와 같이 확인되었다.

 

정상 프로그램	로드 대상 파일 (악성)
accessenum.exe	mpr.dll
ShellRunas.exe	credui.dll
hhc.exe	hha.dll

[표 2] DLL Side-Loading 기법에 사용된 정상 프로그램

credui.dll은 Dropbox에 업로드된 Father.jpg 파일을 다운로드한다. 해당 JPG 파일은 인물 사진으로 보여지지만, 이미지의 특정 위치에 RokRAT을 메모리 상에 로드하는 쉘코드가 삽입되어 있다. 

 

[그림 4] 이미지에 삽입되어있는 쉘코드

 

최종적으로 실행되는 RokRAT 악성코드는 사용자 정보를 수집하고, 공격자의 명령에 따라 다양한 악성 행위를 수행할 수 있어 각별한 주의가 요구된다.

MD5

a2ee8d2aa9f79551eb5dd8f9610ad557

d5fe744b9623a0cc7f0ef6464c5530da

e13c3a38ca58fb0fa9da753e857dd3d5

e4813c34fe2327de1a94c51e630213d1