구직자의 가상화폐를 노리는 Lazarus 그룹
Contents
구직자의 가상화폐를 노리는 Lazarus 그룹
( Document No : DT-20240627-001 )
www.hauri.co.kr
악성코드 상세 분석 보고서
하우리
ㅇ 분석 개요
최근 북한 해킹 그룹 Lazarus 는 구인구직 사이트 LinkedIn 에서 채용 담당자로 위장하여
블록체인 관련 개발 구직자들에게 접근하고 있으며, 이후 악성코드가 포함된 채용 과제를
Github, Bitbucket 등에 업로드하여 구직자들에게 전달한다. 악성코드는 NodeJS 기반으로
만들어져 Windows, Linux, MacOS 운영체제에서 모두 실행된다.
실행된 악성코드는 피해자의 웹 브라우저에 설치된 가상화폐 지갑을 훔친 후 Python 을
설치하여 Python 스크립트로 만들어진 악성코드들을 실행한다.
ㅇ 악성코드 도식화
페이지 2 / 12
악성코드 상세 분석 보고서
하우리
ㅇ Reddit 에 올라온 해킹 시도 사례들
[사례 1]
[사례 2]
페이지 3 / 12
악성코드 상세 분석 보고서
하우리
1. tailwind.config.js
(MD5 : 05D4F890C5583EFC491A6B4E4534A0DE, SIZE : 11,605)
개요 : 웹 브라우저 확장 프로그램으로 설치된 가상화폐 지갑을 탈취 후 Python 악성코드를
설치
ViRobot
JS.S.Dropper.11605
상세분석 :
(1) “tailwind.config.js” 파일은 2024 년 6 월 17 일에 “free_dapp_mvp” 이름의 Bitbucket
repository 에 업로드됐다.
Bitbucket 주소 : https://bitbucket.org/free_dapp2/free_dapp_mvp/src/mvp/
[그림 1] 악성코드가 포함된 Bitbucket
(2) 정상 파일로 보이기 위해 첫 번째 줄에 공백을 많이 넣은 다음 실제로 동작할 악성코드를
한 줄로 작성하였다.
[그림 2] 숨겨놓은 악성코드
페이지 …
( Document No : DT-20240627-001 )
www.hauri.co.kr
악성코드 상세 분석 보고서
하우리
ㅇ 분석 개요
최근 북한 해킹 그룹 Lazarus 는 구인구직 사이트 LinkedIn 에서 채용 담당자로 위장하여
블록체인 관련 개발 구직자들에게 접근하고 있으며, 이후 악성코드가 포함된 채용 과제를
Github, Bitbucket 등에 업로드하여 구직자들에게 전달한다. 악성코드는 NodeJS 기반으로
만들어져 Windows, Linux, MacOS 운영체제에서 모두 실행된다.
실행된 악성코드는 피해자의 웹 브라우저에 설치된 가상화폐 지갑을 훔친 후 Python 을
설치하여 Python 스크립트로 만들어진 악성코드들을 실행한다.
ㅇ 악성코드 도식화
페이지 2 / 12
악성코드 상세 분석 보고서
하우리
ㅇ Reddit 에 올라온 해킹 시도 사례들
[사례 1]
[사례 2]
페이지 3 / 12
악성코드 상세 분석 보고서
하우리
1. tailwind.config.js
(MD5 : 05D4F890C5583EFC491A6B4E4534A0DE, SIZE : 11,605)
개요 : 웹 브라우저 확장 프로그램으로 설치된 가상화폐 지갑을 탈취 후 Python 악성코드를
설치
ViRobot
JS.S.Dropper.11605
상세분석 :
(1) “tailwind.config.js” 파일은 2024 년 6 월 17 일에 “free_dapp_mvp” 이름의 Bitbucket
repository 에 업로드됐다.
Bitbucket 주소 : https://bitbucket.org/free_dapp2/free_dapp_mvp/src/mvp/
[그림 1] 악성코드가 포함된 Bitbucket
(2) 정상 파일로 보이기 위해 첫 번째 줄에 공백을 많이 넣은 다음 실제로 동작할 악성코드를
한 줄로 작성하였다.
[그림 2] 숨겨놓은 악성코드
페이지 …
IoC
05D4F890C5583EFC491A6B4E4534A0DE
09297DBE3CC2CDF2A9F051E2D4EA9948
173.211.106.101
1F5BDE988FEE6FE37092A0EFF5C4B479
23.106.253.209
4B473DD7F3E432F4EB10CB4E7BA85A98
EEC85DE2D612684162D5D1399C53B79B
http://23.106.253.209:1244/
http://23.106.253.209:1244/brow/empzOQO
http://23.106.253.209:1244/client/empzOQO
http://23.106.253.209:1244/keys
http://23.106.253.209:1244/payload/empzOQO
http://23.106.253.209:1244/pdown
http://23.106.253.209:1244/uploads
09297DBE3CC2CDF2A9F051E2D4EA9948
173.211.106.101
1F5BDE988FEE6FE37092A0EFF5C4B479
23.106.253.209
4B473DD7F3E432F4EB10CB4E7BA85A98
EEC85DE2D612684162D5D1399C53B79B
http://23.106.253.209:1244/
http://23.106.253.209:1244/brow/empzOQO
http://23.106.253.209:1244/client/empzOQO
http://23.106.253.209:1244/keys
http://23.106.253.209:1244/payload/empzOQO
http://23.106.253.209:1244/pdown
http://23.106.253.209:1244/uploads