북한 해킹 단체 APT 37((리퍼,Reaper)에서 만든 RokRAT 악성코드-250615_양곡판매소 운영 현황.hwp(2025,06,18)

오늘은 북한 해킹 단체 APT 37(리퍼, Reaper)에서 만든 RokRAT 악성코드인 250615_양곡판매소 운영 현황.hwp에 대해 알아보겠습니다.
일단 제목은 250615_양곡판매소 운영 현황.hwp 라고 되어져 있는 것을 확인을 할 수가 있으며 실제적으로는 북한 평양시 배급 관련 문서이며 데일리 어쩌고 저쩌고 작성되었져 있는 것으로 확인을 할 수가 있으며 당연히 RokRAT 이므로 대북 관계자 분들 그리고 대북 연구 하시는 분들을 대상을 하고 있다는 것을 생각이 가능하면 악성코드는 다음과 같이 분석을 할 수가 있습니다.

악성코드 양곡 관리법 내용

해쉬
파일명:250615_양곡판매소 운영 현황.hwp
사이즈:1 MB
MD5:47c1cfc2380c3fa6c8283160707544fb
SHA-1:f20674ffc0267222555a0a23b580ee00bdebda97
SHA-256:71620bd3d6462e901324f08e97bebd0ab0e186eb738a49cc055e201d54c2f93e
일단 해당 악성코드인 hwp 파일을 열어보면 다음과 같은 내용을 확인할 수가 있습니다.

악성코드 양곡 관리법 에 포함된 링크

250615_양곡판매소 5월 운영 현황
- 조사날짜:2025년 6월 1일
- 조사자:데일?엔?이
1) 평양시 서성구역 서천동 량곡판매소
가) 양곡판매소 운영 현황
일단 한국의 양곡관리법이 아니고 북한의 양곡판매현황(량곡판매현황)이라는 것을 확인을 할 수가 있으며 평양 시민의 배급 관련 내용인 것 같습니다.
문서 하단에는 [부록] 참고자료.docx 라는 하이퍼링크가 삽입되어 있으며 해당 연결 되는 주소는 다음과 같습니다.

hxxps://drive(.)proton(.)me/urls/DM0KM6GFYR#XNHR8(d)mrZUj6

해당 링크를 클릭할 때 TEMP 경로에 존재하는 ShellRunas.exe 실행 여부를 묻는 경고 창이 나타나며 사용자가 실행(Run)을 선택하면 악성코드에 감염이 진행됩니다.
해당 ShellRunas.exe는 공격자의 C2 서버에서 받아오는 것이 아닌 문서 내부에 OLE 객체 형태로 삽입되어 있고 OLE 객체가 위치한 문서 페이지에 접근하면 한글 프로세스에 의해 TEMP 경로에 자동으로 생성하는 것이 특징입니다.

양곡 관리법 악성코드가 생성한 TEMP 파일 내용

해당 문서에서 ShellRunas.exe에 해당하는 OLE객체 외에 credui.dll에 해당하는 OLE 객체도 함께 삽입되어 있으며 %TEMP%폴더에 같이 생성되게 구성이 돼 있습니다.

ShellRunas.exe 인증서 및 credui.dll 인증서

Ioc

hxxps://dl(.)dropboxusercontent(.)com/scl/fi/1g6r30n41l2s0(e)4rjfmiy/Father(.)jpg?rlkey=u7r6vb9ies3wgndj(6)wiym3qib&st=nw4x8j02&dl=0
hxxps://drive(.)proton(.)me/urls/DM0KM6GFYR#(X)NHR8dmrZUj6

이고 여기서 Father(.)jpg 이라는 파일을 열어 보아야지 어떤 동작을 더 하는지 확인을 할 수가 있겠지만 더는 파일들을 다운로드할 수가 없는 관계로 더는 분석은 무리입니다.

PE-bear 로 확인한 dll 파일 안에 포함된 클라우드 드라이브 주소

일단 북한 평양시 양곡 판매소 관련 내용이면 대북 관계자 분들에게 뿌린 것이 아닐까 생각이 됩니다.