EDR 제품을 통한 RokRAT 유포 링크 파일(*.lnk) 추적 및 대응 - ASEC BLOG 관련 IOC 10개 발견
AhnLab Security Emergency response Center(ASEC)는 지난 달 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드를 유포한 RedEyes 공격 그룹(APT37, ScarCruft)이 LNK 파일을 통해 RokRAT 악성코드를 유포하는 것을 확인하였으며, 사용자 정보를 수집하고 추가 악성코드를 다운로드할 수 있는 악성코드로 과거 한글 문서 및 워드 문서를 통해 유포된 이력이 있다. 안랩 EDR은 내부에 파워쉘 명령어를 포함한 LNK 파일이 사용자 시스템에 유입되어 실행되면 의심스러운 파워셀 실행을 탐지하고 있다.
AhnLab Security Emergency response Center(ASEC)는 지난 달 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드를 유포한 RedEyes 공격 그룹(APT37, ScarCruft)이 LNK 파일을 통해 RokRAT 악성코드를 유포하는 것을 확인하였으며, 이는 사용자 정보를 수집하고 추가 악성코드를 다운로드할 수 있는 악성코드로 과거 한글 문서 및 워드 문서를 통해 유포된 이력이 있다. 안랩 EDR은 이를 탐지하여 의심스러운 파워셀 실행을 방지하고 있다.
Ahnlab
Rockrat distribution link file (*.lnk) tracking and correspondence through EDR products -ASEC Blog
Ahnlab Security Emergency Response Center (ASEC) confirmed that the REDEYES attack group (APT37, ScarCruft), which distributed CHM malicious code impersonating domestic financial enterprise security mail last month, distributed ROKRAT malware through an LNK file and user informationIt is a malicious code that can collect and download additional malicious code.AhnLab EDR detects suspicious power cell execution when an LNK file, including the Power Shell command, enters the user system and runs it.
Ahnlab Security Emergency Response Center (ASEC) has confirmed that the REDEYES attack group (APT37, ScarCruft), which distributed CHM malicious code impersonating domestic financial enterprise security mail last month, distributed RokRAT malware through an LNK file, which is user userIt is a malicious code that can collect information and download additional malicious code.AhnLab EDR detects it to prevent suspicious power cell execution.
https://asec.ahnlab.com/ko/51868/