북한 APT 37(Reaper) 2025 북한인권 청년 아카데미 강의 주제 위장한 악성코드

오늘은 북한 APT 37(Reaper) 2025 북한인권 청년 아카데미 강의 주제 위장한 악성코드 ROKRAT 에 대해 알아보겠습니다.
ファイル名:2025 북한인권 청년 아카데미 강의 주제.pdf.lnk
サイズ:1 MB
MD5:ad6273981cb53917cb8bda8e2f2e31a8
SHA-1:536d9332e34a2332b1d027fc45b01e0e5419a7cf
SHA-256:4f2617a971b9c78c8b215d6cb65525ff56f0633a3bcd381695a19efe08156a04

악성코드 에 포함된 PowerShell 코드

악성코드 분석

1.특정 크기의 LNK 파일 탐색
length 문자열을 le'+'ng'+'th' 형태로 쪼개서 정적 탐지 회피
파일 크기 0x9811 (38,929 바이트) 인 .lnk 파일만 선택
현재 디렉터리에 없으면 다음 경로 재탐색:
%USERPROFILE%\AppData\Local\Temp
2.LNK 내부에 숨겨진 페이로드 추출 및 복호화
바이너리 추출 위치
시작 오프셋: 0x1844 (6,212 바이트)
추출 크기:0x56D8 (22,232바이트)
복호화 방식
XOR 복호화
키 값: 0x73 (단순 난독화)
복호화된 결과를 LNK 파일명에서. lnk를 제거한 이름으로 저장 후 즉시 실행
원본 LNK 파일은 삭제하여 흔적 제거
3. 공개 폴더로 이동 후 2차 페이로드 다운로드
작업 디렉터리
C:\Users\Public\Videos\
AutoIt3.exe:이것이 있어야 정확한 분석은 가능 하나 없어서 패스
LYwMHfE.PDF: 아마도 미끼 파일

악성코드 다운로드 URL

hxxps://jlrandsons(.)co(.)uk/wp-admin/maint/plugin/decrease/?naQ=yxXhl0
hxxps://jlrandsons(.)co(.)uk/wp-admin/maint/plugin/decrease/?HEC=BeQva1

WordPress 해킹을 통한 C2

4. 예약 작업(Scheduled Task) 생성
Task Name:LYwMHfE
Trigger:1분 마다 실행
Duration:365일
실행 내용
AutoIt3.exe LYwMHfE.pdf
특징
사용자 로그인 상태에서 실행
관리자 권한 없음 (탐지 회피 목적)
1분 주기 실행 

악성코드 작업 스케줄러 등록

침해 지표 (IOC)

네트워크
jlrandsons(.)co(.)uk
파일
C:\Users\Public\Videos\AutoIt3.exe
C:\Users\Public\Videos\LYwMHfE.pdf
크기 38,929바이트의. lnk 파일
예약 작업
이름:LYwMHfE
설명: gLdcPTtKNusFMVvzJnOX

악성코드 미끼 파일

내용은 다음과 같습니다.
주제: 북한 인권을 위한 NGO 단체들의 활동
대상:남/북한, 외국인청년 20명
운영:1시간 관련주제 강의 + 30분 질의응답
사례비:56만원 (세전)
1.강의 개요
일단 북한 이 북한 인권 관련 NGO 단체를 대상으로 한 것 같은데….
일단 ROKRAT 이므로 한국 정부이거나 정보기관이나 대학교수들을 노린 것 같은데...아무튼, 기본적으로 백신 프로그램 및 기초적인 보안 지식을 가지고 행동을 하는 것을 매우 권장합니다.