다중 라이센스 할인 견적
위협 데이터베이스 백도어 RokRAT 멀웨어

RokRAT 멀웨어

백도어, 지능형 지속 위협(APT)년에 Mezo 년까지
번역 :

북한의 사이버 공격 그룹 APT37(스카크루프트라고도 함)이 페이스북을 이용한 소셜 엔지니어링 기반의 정교한 다단계 사이버 공격을 감행한 것으로 드러났습니다. 공격자들은 친구 요청을 보내며 접촉을 시작하고, 점차 신뢰를 구축한 후 이를 악성코드 유포 채널로 전환합니다. 이러한 치밀한 조작을 통해 최종적으로 원격 접속 트로이목마인 RokRAT을 배포합니다.

주력 무기: 록랫의 진화

RokRAT은 해당 그룹이 사용하는 주요 악성 소프트웨어로, macOS 및 Android와 같은 플랫폼에 맞게 변형되는 등 시간이 지남에 따라 크게 진화했습니다. 이러한 지속적인 개발은 운영 자금에 대한 꾸준한 투자를 보여줍니다.

해당 악성 소프트웨어는 다음과 같은 광범위한 악의적인 활동을 실행할 수 있습니다.

  • 자격 증명 탈취 및 민감 데이터 유출
  • 스크린샷 캡처 및 시스템 정찰
  • 명령어 및 셸코드 실행
  • 파일 및 디렉터리 조작

RokRAT의 초기 변종들은 작동 방식을 숨기기 위해 탈취한 데이터를 MP3 파일 형식으로 저장했습니다. 또한, RokRAT은 Dropbox, Microsoft OneDrive, pCloud, Yandex Cloud와 같은 합법적인 클라우드 플랫폼을 통해 데이터를 전송함으로써 명령 및 제어(C2) 통신을 위장합니다.

신뢰를 공격 벡터로 활용하기: 소셜 미디어 조작

이 캠페인은 평양과 평성에 거주하는 것처럼 위장한 가짜 페이스북 계정을 만드는 것으로 시작됩니다. 이 계정들을 이용해 잠재적 피해자를 물색하고 평가합니다. 일단 관계가 형성되면 대화는 메신저로 옮겨가고, 신뢰와 참여를 심화시키기 위해 신중하게 선별된 주제들이 제시됩니다.

핵심적인 공격 전술은 가장(Pretexting)입니다. 공격 대상에게 암호화된 군사 문서에 접근하기 위해 특수 PDF 뷰어가 필요하다는 거짓 전제를 깔고 설치하도록 유도하는 것입니다. 제공되는 애플리케이션은 악성 셸코드가 내장된 Wondershare PDFelement의 변조 버전입니다. 이 설치 프로그램이 실행되면 공격자는 시스템에 대한 초기 접근 권한을 획득하여 시스템 침해를 시작합니다.

다층적 기만: 고급 전달 및 회피 기술

이 공격 연쇄는 여러 회피 전략의 조합을 통해 매우 정교한 수준을 보여줍니다.

  • 의심을 피하기 위해 트로이목마가 심어진 합법적인 소프트웨어를 사용하는 행위
  • C2 작전을 위해 손상되었지만 신뢰받는 웹 인프라를 악용하는 행위
  • 악성 페이로드를 JPG 이미지와 같은 무해한 파일로 위장합니다.

특히 공격자들은 일본 부동산 서비스 회사의 서울 지점과 연결된 해킹된 웹사이트를 이용하여 명령어와 페이로드를 배포했습니다. 2단계 페이로드는 무해해 보이는 이미지 파일 형태로 위장되어 있으며, 최종적으로 RokRAT 악성코드가 실행됩니다.

다단계 실행: 사회적 접촉에서 완전한 타협까지

공격은 여러 단계에 걸쳐 조직적으로 진행됩니다. 공격자는 2025년 11월 10일에 'richardmichael0828'과 'johnsonsophia0414'라는 이름의 페이스북 계정을 생성했습니다. 관계를 구축한 후, 대화는 텔레그램으로 전환되어 피해자에게 악성 PDF 뷰어, 위장 문서 및 설치 지침이 포함된 ZIP 압축 파일을 전송합니다.

손상된 설치 프로그램을 실행하면 암호화된 셸코드가 실행되어 C2 도메인에 연결하고 JPG 이미지 파일로 위장한 보조 페이로드를 가져옵니다. 이 파일은 최종적으로 RokRAT 멀웨어 전체를 전달합니다.

클라우드 기반 명령 및 제어: 합법적인 트래픽에 자연스럽게 녹아들기

RokRAT은 Zoho WorkDrive를 C2 인프라의 일부로 악용하여 은밀성을 더욱 강화하는데, 이는 2026년 초에 발견된 'Ruby Jumper' 캠페인에서도 관찰된 방식입니다. 이러한 접근 방식을 통해 악성코드는 스크린샷 캡처, 시스템 셸을 통한 원격 명령 실행, 호스트 데이터 수집 및 보안 회피와 같은 기능을 수행합니다.

전략적 중점사항: 기능의 안정성, 제공 방식의 혁신

RokRAT의 핵심 기능은 여러 작전에서 대체로 일관성을 유지해 왔지만, 유포 방식과 회피 전략은 지속적으로 진화하고 있습니다. 이러한 전략적 방향은 악성코드의 기본 기능을 변경하기보다는 감염 경로와 은밀한 침투 기술을 개선하는 데 의도적으로 초점을 맞추고 있음을 보여줍니다.

트렌드

인증 단계 알림

멀웨어, 불량 웹사이트
인증 단계 알림은 가짜 CAPTCHA 또는 사람 인증 메시지를 악용하여 사용자를 속여 유해한 행위를 유도하는 심각한 위험을 내포하고 있습니다. 합법적인 인증 시스템으로 위장한 이러한 페이지는 종종 신뢰할 수 있는 CAPTCHA 서비스를 모방합니다. 사람의 활동을 검증하는 대신, 명령어 복사, 브라우저 알림 활성화 또는 기만적인 버튼 클릭과 같은...

SatoshiVM 배포 프로그램 사기

불량 웹사이트
온라인 안전은 그 어느 때보다 중요해졌습니다. 사이버 위협이 진화함에 따라, 숙련된 사용자조차도 점점 더 정교해지는 사기 수법의 희생양이 될 수 있습니다. 특히 암호화폐 플랫폼을 이용할 때는 각별한 주의가 필수적입니다. 단 한 번의 잘못된 클릭이나 연결로 돌이킬 수 없는 금전적 손실을 입을 수 있습니다. 혁신의 환상: 가짜 암호화폐 프로젝트 언뜻...

보안 인증 요구 이메일 사기

피싱, 스팸
예상치 못한 이메일을 접할 때는 항상 주의를 기울이는 것이 온라인 보안 유지에 필수적입니다. 사이버 범죄자들은 신뢰와 긴급성을 악용하기 위해 악성 메시지를 합법적인 이메일로 위장하는 경우가 많습니다. '보안 확인 필요'라는 이메일 사기가 대표적인 예입니다. 이러한 이메일은 겉보기에는 그럴듯해 보이지만, 어떠한 합법적인 회사, 기관 또는 서비스 제공업체와도 관련이 없습니다. '보안 인증 필요' 사기 수법을 자세히 살펴보겠습니다. 상세 분석 결과, 이러한 이메일은 이메일 서비스 제공업체의 공식 보안 알림을 모방하여 제작된 것으로 나타났습니다. 이메일 내용은 일반적으로 수신자의 계정 접근 권한 유지를 위해 즉각적인 인증이 필요하다고 주장합니다. 해당 메시지는 조치를 취하지 않으면...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
34,180
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
29,080
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

에포르너닷컴

문제
25,053
인터넷은 유용한 콘텐츠, 엔터테인먼트, 정보로 가득한 광활한 공간이지만, 어두운 구석도 있습니다. TV 프로그램을 스트리밍하든, 앱을 다운로드하든, 성인 콘텐츠 플랫폼을 방문하든 항상 경계해야 합니다. 많은 사이트, 특히 공격적인 광고로 성행하는 사이트는 심각한 보안 위험을 초래할 수 있습니다. 이러한 우려를 불러일으킨 사이트 중 하나가 바로...
로드 중...