lazarusholic

2019-06-20, ESTSecurity
https://blog.alyac.co.kr/2377
#MovieCoin #Lazarus

■ 라자루스, 무비 코인 작전으로 한국 맞춤형 APT 공격
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다.
2019년 06월 20일, 정부 지원을 받는 해킹 조직으로 널리 알려진 이른바 '라자루스(Lazarus)' APT 조직이 HWP 취약점 문서 파일을 활용해 공격을 수행한 정황이 포착되었습니다.
'투자계약서_20190619.hwp' 파일명으로 발견된 악성 파일은 06월 19일 제작된 것으로 분석됐으며, 취약점에 의해 설치되는 최종 악성 DLL 모듈은 '2019년 06월 18일 21시 03분 경에 만들어졌습니다.
문서 파일 내부에는 'BIN0001.PS' 포스트 스크립트 파일이 포함되어 있습니다.
[그림 1] 악성 포스트 스크립트 코드 화면
포스트 스크립트 코드에는 [D0 7F 2B 6A 91 60 5B A7 BA 8C 25 9D 1C DE 0A 9B] 16바이트 키로 XOR 인코딩이 되어 있습니다.
복호화 로직이 진행되면, 다음과 같이 내부에 포함되어 있던 2차 포스트 스크립트 코드와 쉘코드가 나타나게 됩니다.
[그림 2] 2차 포스트 스크립트와 쉘코드 화면
쉘코드에는 C2 주소가 은밀하게 숨겨져 있으며, 2018년 10월 【라자루스 최신 APT 작전 '배틀 크루저(Operation Battle Cruiser)' 재등장 (2018-10-23)】 포스팅과 동일하게 DD CC BB AA 코드를 기준으로 URL 주소가 선택됩니다.
- https://gozdeelektronik[.]net/wp-content/themes/0111/movie.png (32bit dll)
- https://gozdeelektronik[.]net/wp-content/themes/0111/movie.jpg (64bit dll)
[그림 …

https://creativefishstudio.com/newbiesspeak/left.php
https://gozdeelektronik.net/wp-content/themes/0111/movie.jpg
https://gozdeelektronik.net/wp-content/themes/0111/movie.png
https://rxrenew.us/wp-content/themes/hestias/index.php
https://sensationalsecrets.com/js/left.php