ALL MENU

Technology
S2W's Technology
AI
Big Data
Security
Products
SAIP
QUAXAR
XARVIS
EYEZ
Services
AI Data Consulting
Penetration Testing
Incident Response
Request for Intelligence
Resources
Event
Webinar
SIS
Conference
About S2W
About S2W
History
News

QUICK LINKS

Resources
  • 연구
  • 위협 인텔리전스 보고서
스카크러프트 악성코드(Scarcruft ROKRAT): 새로운 유포 방식의 출현
2026.02.03

✅ 보고서 제목: 스카크러프트 악성코드(Scarcruft ROKRAT): 새로운 유포 방식의 출현



✅ 보고서 요약:


- 최근 ScarCruft는 기존 LNK 기반 체인과 달리, HWP OLE 기반 Dropper·Loader 구조를 활용해 ROKRAT을 유포하는 새로운 공격 방식을 사용하고 있습니다.


- 보고서에서 언급된 세가지 사례 모두 ROR13 기반 API Resolving, XOR 기반 페이로드 복호화, 클라우드 서비스(pCloud, Yandex) 악용 등 과거 ScarCruft 캠페인에서 확인된 특징을 동일하게 공유합니다.


- Dropper와 Downloader는 파일 드랍, 환경 점검, 메모리 로딩 등 기능적 차이를 보이나, 최종적으로 ROKRAT을 메모리 상에서 실행한다는 점이 동일하게 나타납니다.



📌 ROKRAT 악성코드는 무엇인가요?


- 북한 배후의 APT 그룹 ScarCruft가 사용하는 ROKRAT 악성코드는 2017년에 처음 발견된 이후 최근까지 지속적으로 유포되고 있습니다.


- ScarCruft는 과거부터 LNK 파일을 통해 BAT 스크립트와 쉘코드를 드랍한 뒤 ROKRAT을 실행하는 공격 체인을 지속적으로 활용해 왔으며, S2W Threat Intelligence Center (TALON)은 이 과정에서 사용되는 주요 악성코드를 파일 타입에 따라 각각 DROKLINK, DROKBAT으로 명명하여 추적해 왔습니다.


- 그러나 최근에는 이러한 기존 공격 벡터와 달리, 한글(HWP) 문서의 OLE 객체에 Dropper와 Loader를 삽입하는 방식으로 ROKRAT을 유포하는 사례가 확인되었으며, 이를 위해 ScarCruft가 새로운 악성코드를 제작해 활용한 정황이 발견되고 있습니다.



📌 ROKRAT 악성코드의 새로운 유포 방식은 무엇인가요?


- 기존에 LNK 파일에서 드랍되는 BAT 스크립트와 쉘코드로 이어지던 공격 체인과 달리, 이번 사례에서는 새롭게 제작된 Dropper 및 Loader 악성코드를 사용해 쉘코드와 ROKRAT 페이로드를 전달하는 정황이 확인되었습니다.



1. 사례 1: mpr.dll


- 해당 악성코드는 mpr.dll 파일명을 사용하고 있으며, 발견 당시 유포 경로는 식별되지 않았으나, 이후 확인된 내용에 따르면 한글 문서의 OLE 객체로 삽입되어 정상 실행 파일에 사이드로딩 방식으로 실행된 사실이 확인되었습니다.


- 첫 번째 사례의 Dropper는 리소스 영역에 포함된 페이로드를 파일 형태로 드랍하고, Loader는 분석 환경 및 감염 여부를 확인하는 기능을 수행하며, 쉘코드를 메모리 상에서 실행합니다.



2. 사례 2: credui.dll


- 해당 악성코드 역시 HWP 문서의 OLE 객체를 통해 유포된 사례로 확인되며, Downloader 유형의 악성코드로, 파일 내부에 하드코딩된 URL을 통해 추가 페이로드를 다운로드 받아 실행합니다.


- 악성 DLL 파일 이름(credui.dll)은 ShellRunas.exe와 같은 정상 프로그램을 통해 DLL 사이드로딩 방식으로 실행되었을 가능성이 높은 것으로 판단됩니다.


- Downloader가 공격자 소유의 Dropbox 링크에서 스테가노그래피 기법으로 숨겨진 쉘코드를 다운로드해 ROKRAT을 유포합니다.



3. 사례 3: version.dll


- version.dll 파일 역시 유포 및 실행 방식은 식별되지 않았으나, 악성코드의 PDB 경로와 공개된 내용을 종합했을 때 악성 한글 문서 내부의 OLE 객체로 포함되어 정상 프로그램에 사이드로딩되어 실행되었을 가능성이 높은 것으로 판단됩니다.


- 세 번째 사례의 Dropper와 Loader는 내부에 포함된 페이로드를 1바이트 XOR 키로 복원한 뒤 ROKRAT을 메모리 상에서 직접 실행합니다.



- 세 사례 모두 ROR13 기반 API Resolving과 ROKRAT 복호화 시 0x29 XOR 키를 사용하는 공통적인 패턴이 확인됩니다.


- ROKRAT은 정상 클라우드 서비스를 C2로 악용하는 ScarCruft의 대표적인 정보탈취형 악성코드로, 이번 사례에서도 동일한 특징을 보입니다.



📌 ScarCruft 그룹과의 연관성


- 쉘코드 단계에서 사용된 API 해시 알고리즘(ROR13 기반)과 XOR 키, 그리고 ROKRAT 내부에서 활용되는 pCloud 및 Yandex API 토큰 문자열이 과거 ScarCruft 공격 캠페인과 동일합니다.


- 이를 통해 이번 공격은 ScarCruft 그룹의 최신 공격 벡터로 판단되며, 기존 전술(TTP)에 기반해 변형된 형태임을 확인할 수 있습니다.



✅ 위협 탐지 권장 사항 및 조치 방안:


- 최근 공격에서 확인된 Dropper 및 Loader는 한글 문서의 OLE 객체에 삽입된 형태로 유포되고 있으므로, 피싱 메일을 통한 HWP 문서 열람 시 각별한 주의가 필요합니다.


- OLE 객체를 포함한 문서를 실행할 경우 임의 코드 실행으로 이어질 수 있으므로, 출처가 불분명한 문서를 열람하지 않도록 합니다.


- HWP 문서에 포함된 비정상 OLE 객체에 대한 탐지 및 차단 정책을 강화할 것을 권고합니다.



🧑‍💻 보고서 작성자: S2W TALON


👉 보고서 전문 문의하기: https://s2w.inc/ko/contact


*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.


뉴스 하이라이트
2026년 1월 3주차 위클리 다크웹
2026.01.28
이전 글
뉴스 하이라이트
2026년 1월 4주차 위클리 다크웹
2026.02.04
다음 글
목록