ROKRAT 탐지: 대형 LNK 파일에 의존하는 새로운 배포 방식 채택 악성코드

공격자들은 보안 보호를 극복하기 위한 새로운 방법을 지속적으로 모색하고 있습니다. Microsoft가 작년부터 Office 문서에 대한 매크로를 기본적으로 차단하기 시작한 후, 사이버 범죄자들은 방어를 거의 우회하기 위해 배포 방법을 적응시켰습니다. APT37는 이 주요 트렌드를 따라 Windows 단축키 (LNK) 파일을 사용하여 ROKRAT (일명 DOGCALL) 캠페인을 성공적으로 진행하고 있습니다.

ROKRAT 악성코드 공격 탐지

보안 실무자들은 중요한 조직 자산을 보호하고 가능한 침입을 적시에 식별하기 위해 신뢰할 수 있는 탐지 콘텐츠가 필요합니다. SOC Prime 플랫폼은 최신 ROKRAT 캠페인을 탐지하기 위한 Sigma 규칙 배치를 제공합니다.

APT37 그룹에 의한 관련 커맨드라인의 탐지를 통해 의심스러운 ROKRAT 악성코드 실행 (via process_creation)

이 탐지 규칙은 Mustafa Gurkan KARAKAYA, 숙련된 Threat Bounty 개발자가 작성했으며, 관련 커맨드라인을 통해 ROKRAT 악성코드의 DLL 파일 실행을 식별합니다. 이 규칙은 23개의 SIEM, EDR 및 XDR 솔루션과 호환되며 MITRE ATT&CK® 프레임워크 에 매핑되어 있으며, Execution 전술 및 커맨드 및 스크립팅 인터프리터 (T1059) 기법을 구체적으로 다루고 있습니다.

탐지 엔지니어링 및 위협 사냥 기술을 유익하게 활용하고 세상을 더 안전하게 만들고 싶으신가요? SOC Prime의 Threat Bounty Program 에 참여하여 Sigma 규칙을 가장 큰 위협 탐지 마켓플레이스에 게시하세요. 우리의 크라우드소싱 이니셔티브에 가입함으로써 당신의 미래 이력서를 강화하고, 업계 전문가들과 연결하며, 기여에 따른 재정적 혜택도 받을 수 있습니다.

아래의 탐지 탐색하기 버튼을 클릭하여 ROKRAT 악성코드를 탐지하기 위한 Sigma 규칙의 전체 목록에 액세스하세요. 모든 Sigma 규칙은 관련 사이버 위협 인텔리전스로 풍부하게 되어 있어, 조사 시간을 단축하고 공격과 공격자 행동 패턴의 포괄적인 컨텍스트를 제공합니다.

탐지 탐색하기

새로운 ROKRAT 감염 체인 분석

계속 변화하는 공격 표면을 따라가기 위해, APT37 국가 배후 행위자는 핵심 악성 코드 샘플인 ROKRAT의 새로운 배포 방법을 채택했습니다.

ROKRAT 백도어는 자격 증명 덤핑, 정보 도용, 커맨드 및 쉘코드 실행 등을 위해 자주 활용됩니다. 2022년 7월 이후 보안 전문가들은 관찰했습니다 ROKRAT의 다단계 감염 체인을 시작하기 위해 대형 LNK 파일로 이동하는 변화를 보였습니다. 특히, 동일한 접근 방식이 다른 APT37 공격에서도 적용되어 맞춤형 GOLDBACKDOOR 및 일반적 Amadey 악성코드 배포를 초래했습니다.

최신 ROKRAT 캠페인은 주로 대한민국 공공 부문 기관에 초점을 맞추고 있습니다. 이는 전통적으로 관심 대상을 이루고 있으며 APT37이 북한 국가보안부와 제휴된 해킹 집단이며, 적어도 2012년부터 활동해 왔습니다. 2017년부터는 남한 외에 세계적으로 피해자를 찾고 있습니다. 영향을 받은 부문에는 제조, 전자, 의료, 자동차 산업 버티컬 등이 포함됩니다.

공격 표면이 더욱 복잡해짐에 따라, 조직들은 신속하게 새로 등장하는 위협을 탐지하고 인프라를 잠재적 침입으로부터 보호하기 위한 방법을 찾고 있습니다. SOC Prime은 최신 악성코드 위협을 다루는 종합적인 탐지 콘텐츠를 제공하여 조직이 공격자를 앞서 나갈 수 있도록 완전히 준비되어 있음을 보장합니다. 방문하세요 https://socprime.com/ 새롭게 등장하는 위협에 대해 더 알아보거나 조직의 위협 프로필에 맞춘 정보를 받으려면 On Demand 구독을 통해 https://my.socprime.com/pricing.