북한의 APT37, 바이러스토탈에 악성 워드 문서를 활용한 공격
->RokRAT을 주입하기 위해, VBA 자체 디코딩 기술을 사용
->악성 매크로는 다른 매크로 내에서 인코딩 된 다음 동적으로 디코딩되어 실행
※ unpacker stub (자체 디코딩 기술)
: 문서를 열 때 악성 매크로의 압축을 풀고 디스크에 기록하지 않고 Microsoft Office의 메모리에 기록
->여러 보안 메커니즘을 쉽게 우회 가능
1. 록랫(RokRAT) 랜섬웨어란?
클라우드 기반 원격 접근 트로이목마(RAT)로, 피해자의 시스템으로부터 여러 가지 정보를 추출해 여러 공공
클라우드 서비스에 저장
-> 피씨클라우드(PcCloud), 드롭박스(Dropbox), 박스(box), 얀덱스(Yandex)와 같은 서비스들이 주로 활용
2. 록랫 랜섬웨어의 스파이 기능
①스크린샷 캡쳐
②사용자 이름, 컴퓨터 이름, BIOS 등 시스템 정보 수집
③수집한 데이터를 클라우드 서비스로 전송
④크리덴셜 탈취
⑤파일 관리 및 암호화/복호화 관리
3. 피해
아직까지 정확한 피해자는 밝혀지지 않고 있지만, 한국 정부 기관들이 현재까지 발표된 관련 침해지표를
통해 점검이 필요
참고 : www.boannews.com/media/view.asp?idx=94024&page=4&mkind=1&kind=1
반응형
'최근 보안동향' 카테고리의 다른 글
| 캐시미르블랙(KashmirBlack) 봇넷에 대해서 (0) | 2021.01.15 |
|---|---|
| 블루크랩(Js.BlueCrab) 랜섬웨어에 대해 (0) | 2020.11.12 |
| 블리딩투스(Bleeding Tooth) 취약점에 대해 (0) | 2020.10.16 |
| 미라이형 loT 멀웨어 틴트(Ttint)에 대해 (0) | 2020.10.06 |
| 블랙에너지(BlackEnergy) 3 멀웨어 (0) | 2020.09.18 |
