무기화된 오픈소스 소프트웨어
Contents
무기화된 오픈소스 소프트웨어
(Lazarus APT)
( Document No : DT-20230619-001 )
www.hauri.co.kr
악성코드 상세 분석 보고서
하우리
ㅇ 분석 개요
작년 6 월부터 북한의 해킹 그룹 라자루스(Lazarus)는 PuTTY, KiTTY, TightVNC, Sumatra PDF
Reader, muPDF/Subliminal Recording 와 같은 오픈소스 소프트웨어들을 수정하여 악성코드를
제작하고 있으며, LinkedIn 에서 특정 회사들의 채용담당자로 위장하여 엔지니어들에게
접근하여 악성코드를 유포하였다. 수정된 오픈소스 소프트웨어들은 실행만으로 악성 행위를
하지 않으며, 사용자가 특정 PDF 를 열람하거나 수정된 Putty 로 특정 서버를 접속을 하는 등
특정 이벤트가 발생해야 악성 행위를 시작하는 공격 방식을 사용하고 있다. 이는 SandBox 을
사용한 자동 분석을 회피하기 위함으로 보인다.
ㅇ 악성코드 순서도
페이지 2 / 7
악성코드 상세 분석 보고서
하우리
1. Skill Assessment.iso
(MD5 : 4E10C8D3D71136E870CF58C0E31DB2BC, SIZE : 3,260,416)
개요 : 오픈소스 원격접속 프로그램(TightVNC)을 수정한 악성코드와 원격 서버 정보가 적힌
텍스트 파일이 동봉되어 있음
ViRobot
ISO.S.IncludeMal.3260416
상세분석 :
(1) “Skill Assessment.iso” 파일을 더블 클릭 시 EXE 파일과 TXT 파일이 동봉된 DVD
드라이브가 생성된다.
[그림 1] DVD 드라이브
(2) “Amazon Workspaces.exe” 파일은 오픈소스 TightVNC Viewer 을 수정한 파일이다.
[그림 2] Amazon Workspaces.exe 정보
(3) “Readme.txt” 파일은 TightVNC Viewer 를 사용해 접속할 서버 정보가 적혀져 …
(Lazarus APT)
( Document No : DT-20230619-001 )
www.hauri.co.kr
악성코드 상세 분석 보고서
하우리
ㅇ 분석 개요
작년 6 월부터 북한의 해킹 그룹 라자루스(Lazarus)는 PuTTY, KiTTY, TightVNC, Sumatra PDF
Reader, muPDF/Subliminal Recording 와 같은 오픈소스 소프트웨어들을 수정하여 악성코드를
제작하고 있으며, LinkedIn 에서 특정 회사들의 채용담당자로 위장하여 엔지니어들에게
접근하여 악성코드를 유포하였다. 수정된 오픈소스 소프트웨어들은 실행만으로 악성 행위를
하지 않으며, 사용자가 특정 PDF 를 열람하거나 수정된 Putty 로 특정 서버를 접속을 하는 등
특정 이벤트가 발생해야 악성 행위를 시작하는 공격 방식을 사용하고 있다. 이는 SandBox 을
사용한 자동 분석을 회피하기 위함으로 보인다.
ㅇ 악성코드 순서도
페이지 2 / 7
악성코드 상세 분석 보고서
하우리
1. Skill Assessment.iso
(MD5 : 4E10C8D3D71136E870CF58C0E31DB2BC, SIZE : 3,260,416)
개요 : 오픈소스 원격접속 프로그램(TightVNC)을 수정한 악성코드와 원격 서버 정보가 적힌
텍스트 파일이 동봉되어 있음
ViRobot
ISO.S.IncludeMal.3260416
상세분석 :
(1) “Skill Assessment.iso” 파일을 더블 클릭 시 EXE 파일과 TXT 파일이 동봉된 DVD
드라이브가 생성된다.
[그림 1] DVD 드라이브
(2) “Amazon Workspaces.exe” 파일은 오픈소스 TightVNC Viewer 을 수정한 파일이다.
[그림 2] Amazon Workspaces.exe 정보
(3) “Readme.txt” 파일은 TightVNC Viewer 를 사용해 접속할 서버 정보가 적혀져 …
IoC
3EF1892C1A5F1BB056871B7D7E5CD69A
4E10C8D3D71136E870CF58C0E31DB2BC
https://www.jeannecampos.com/wp-includes/blocks/avatar/editor-rtl.php
https://www.jeannecampos.com/wp-includes/certificates/ca-bundle.php?v=
4E10C8D3D71136E870CF58C0E31DB2BC
https://www.jeannecampos.com/wp-includes/blocks/avatar/editor-rtl.php
https://www.jeannecampos.com/wp-includes/certificates/ca-bundle.php?v=