APT37 그룹이 사용하는 RoKRAT 악성코드의 변종이 새롭게 확인되었습니다.
위협 행위자는 LNK 확장자를 가진 바로가기 파일 내부에 'Powershell' 명령어를 삽입해 공격에 활용했습니다.
바로가기 파일은 내부에 정상적인 미끼 문서와 함께 RoKRAT Shellcode 등을 은닉하고 있어, 정상적인 LNK 파일과 비교해 파일 사이즈가 비정상적으로 크다는 특징이 있습니다.
또한, 'Multiple Provider Router DLL'로 위장한 RoKRAT 로더(Loader) 형태의 악성 파일도 다수 식별되었으며, 일부는 HWP 문서 내 악성 OLE 객체를 삽입해 공격에 활용된 것으로 분석됩니다.
실제 악성 HWP 문서가 실행된 뒤, 내부의 하이퍼링크를 클릭하면 'ShellRunas.exe' 실행 여부를 묻는 창이 표시되고, 사용자가 이를 허용할 경우 악성 모듈이 시스템에 로드됩니다.
이후 모듈은 Dropbox에서 스테가노그래피(Steganography) 기법을 활용해 악성코드가 숨겨진 JPEG 이미지 파일을 다운로드하고 메모리 상에서 로드합니다.
이처럼 RoKRAT 위협은 진화를 거듭하고 있으며, 최신 변종은 일반적인 백신이나 SIEM 시스템만으로는 탐지와 대응이 어려운 APT용 악성코드입니다.
이와 같은 공격에 대응하기 위해서는 이상 행위를 실시간으로 탐지하고 차단할 수 있는 EDR 기반 대응 체계가 필수적입니다.
