EDR 제품을 통한 RokRAT 유포 링크 파일(*.lnk) 추적 및 대응 - ASEC

Impotant:
https://1drv.ms/i/s!AhXEXLJSNMPTbfzgUMxNbInC6
657fd7317ccde5a0e0c182a626951a9f
461ce7d6c6062d1ae33895d1f44d98fb
0f5eeb23d701a2b342fc15aa90d97ae0
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRiZnpnVU14TmJJbkM2Q0k_ZT1WZElLSjE/root/content
aa8ba9a029fa98b868be66b7d46e927b
https://1drv.ms/u/s!Au2my1xh6t8XgR2Mzms8nhRwo-6B?e=jHHC6y
be32725e676d49eaa11ff51c61f18907
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBdTJteTF4aDZ0OFhnUjJNem1zOG5oUndvLTZCP2U9akhIQzZ5/root/content
8fef5eb77e0a9ef2f97591d4d150a363

요약:
AhnLab Security Emergency response Center(ASEC)는 지난 달 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드를 유포한 RedEyes 공격 그룹(APT37, ScarCruft)이 LNK 파일을 통해 RokRAT 악성코드를 유포하는 것을 확인하였으며, 사용자 정보를 수집하고 추가 악성코드를 다운로드할 수 있는 악성코드로 과거 한글 문서 및 워드 문서를 통해 유포된 이력이 있다. 안랩 EDR은 내부에 파워쉘 명령어를 포함한 LNK 파일이 사용자 시스템에 유입되어 실행되면 의심스러운 파워셀 실행을 탐지하고 있다. AhnLab Security Emergency response Center(ASEC)는 지난 달 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드를 유포한 RedEyes 공격 그룹(APT37, ScarCruft)이 LNK 파일을 통해 RokRAT 악성코드를 유포하는 것을 확인하였으며, 이는 사용자 정보를 수집하고 추가 악성코드를 다운로드할 수 있는 악성코드로 과거 한글 문서 및 워드 문서를 통해 유포된 이력이 있다. 안랩 EDR은 이를 탐지하여 의심스러운 파워셀 실행을 방지하고 있다.

내용:
AhnLab Security Emergency response Center(ASEC)은 지난 달  국내 금융 기업 보안 메일을 사칭한 CHM 악성코드 를 유포한 RedEyes 공격 그룹(also known as APT37, ScarCruft)에 대한 내용을 공유했다. 링크 파일(*.lnk)을 통해 유포되는 RokRAT 악성코드 : RedEyes(ScarCruft) – ASEC BLOG AhnLab Security Emergency response Center(ASEC)은 지난 달 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드를 유포한 RedEyes 공격 그룹(also known as APT37, ScarCruft)이 최근 LNK 파일을 통해 RokRAT 악성코드를 유포하는 것을 확인하였다. RokRAT 악성코드는 사용자 정보를 수집하고 추가 악성코드를 다운로드할 수 있는 악성코드로 과거 한글 문서 및 워드 문서를 통해 유포된 이력이 존재한다. 이번에 확인된 LNK 파일은 내부에 파워쉘 명령어를 포함하고 있으…
LNK 파일은 내부에 파워쉘 명령어를 포함하고 있으며 temp 경로에 정상 파일과 함께 스크립트 파일을 생성 및 실행하여 정상 pdf파일 사용자가 감염되고 있는 것을 모르게 악성 행위를 수행한다.
안랩 EDR에서는 악성 LNK파일이 사용자의 시스템에 유입되어 실행할 경우 아래와 같이 의심스러운 파워셀 실행을 탐지하고 있다. [그림] 의심스러운 Powershell.exe 프로세스 실행 탐지(정상 pdf 실행 정황)
위 그림에서 아래 cmd.exe를 클릭해보면 아래 그림과 같이 .bat파일 실행 이력과 bat파일의 명령어를 확인할 수 있다. [그림] .bat 실행 내역과 bat파일의 명령어 [그림] bat파일에 의해 실행된 Powershell 탐지 화면
배치(.bat)파일에 의해 의심스럽게 실해된 Porshell.exe 명령어를 탐지하면 사용자는 오른쪽 상단의 호스트 정보로 어떤 시스템에서 누가 로그인해서 해당 명령어가 실행되었는지 확인 가능하다.
해당 PC에 대한 조사를 이어가면 아래와 같이 추가적으로 악성코드 다운로드 URL 주소에 대한 확인이 가능하다. [그림] 악성코드 다운로드 URL
담당자는 의심스러운 로그를 확인할 경우 EDR의 프로세스 종료, 해당 시스템의 네트워크 격리 기능으로 대응이 가능하다. [그림] EDR 프로세스 종료 기능 [그림] 의심 시스템에 대한 대응(네트워크 차단 및 악성코드 검사 기능 등)
RokRAT 악성코드는 과거부터 꾸준히 유포되고 있으며 위 사례와 같이 정상적인 파일을 같이 실행해 사용자가 감염을 인지하기 어렵게 한다. 고도화되는 악성코드에 대응하기 위해서는 의심스러운 행위를 탐지 대응까지 가능한 EDR 제품이 필요하다.
 [파일 진단] Dropper/LNK.Agent (2023.04.08.00) Downloader/BAT.Agent (2023.04.08.00)
[IOC] 0f5eeb23d701a2b342fc15aa90d97ae0 (LNK) aa8ba9a029fa98b868be66b7d46e927b (LNK) 657fd7317ccde5a0e0c182a626951a9f (LNK) be32725e676d49eaa11ff51c61f18907 (LNK) 8fef5eb77e0a9ef2f97591d4d150a363 (bat) 461ce7d6c6062d1ae33895d1f44d98fb (bat) hxxps://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRiZnpnVU14TmJJbkM2Q0k_ZT1WZElLSjE/root/content hxxps://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBdTJteTF4aDZ0OFhnUjJNem1zOG5oUndvLTZCP2U9akhIQzZ5/root/content hxxps://api.onedrive.com/v1.0/share.....

Open New Windows

EDR 제품을 통한 RokRAT 유포 링크 파일(*.lnk) 추적 및 대응 - ASEC BLOG:
https://asec.ahnlab.com/ko/51868/