lazarusholic

Everyday is lazarus.dayβ

북한 라자루스(Lazarus)에서 만든 브라우저 악성코드-11.js(2024.12.28)

2025-01-06, Sakai
https://wezard4u.tistory.com/429371
#Lazarus

Contents

오늘은 북한 라자루스(Lazarus) 단체에서 만든 브라우저 스틸러인 11.js(2024.12.28)에 대해 알아보겠습니다. 일단 해당 악성코드는 자바스크립트로 구성이 되어 있는 것이 특징이며 기본 목적은 간단합니다.
먼저 악성코드 해쉬값은 다음과 같습니다.
파일명:11.js
사이즈:47,274 Bytes
MD5:36ebb732ac83309f65dd5f54dc75cce5
SHA-1:538053824f395bf2fd879ebf4a32b99eab03b678
SHA-256:ab754242fe28fa282a9169e47c3e12752fa444c22945cd220c657bcab561b983
일단 개 난장판으로 되어 있는 것을 대충 난독화 해제를 하면 다음과 같이 된 것을 확인을 할 수가 있습니다.
'phepccionb'(,)'TZWxu','ion','constructo','164.17.24:','dlcobpjiig',
'TEfUe','lchlgh(e)cda','replace','ser','raveSoftwa','ivsOD','FcBfi',
'filename','writeF(i)leS','hostname','tPVMG','ogin.keych','12198KVfrYJ',
'apply','exception','f(z)iCz','/Library/K','ngcnapndod','ess','pVHqJ',
'aKCWf','sbjFh','VnLuB','N(E)rFo','existsSync','google-chr','child_proc'
,'vlvyM','iWQvP','com(.)ope(r)as','_lst',' Support/','Local/Goog','rerpq',
'accessSync','uJkFE','lu(a)XT','__proto__','nmhnfn(k)dna','oPiK(F)','logkc-db'
,'Local/Brav','nction() ','(l)meeeajnim','ome','LP(D)Es','6628510(j)FRhCE','" "',
'kbsWf','length','table','oper(a)','1(3)37hmKSNv','bFazW','wsowP','YGdeo',
'isDirector','on.exe','kpcn(l)pebkl','/uploads','Owtke','/.npl','oIqcM',
'mixiF','nmnYa','txt','/Local (E)xt','multi_file','rmSync','aYHbX','brld_'
,'oogle/Chro','TBUBr','CuwOQ','Z(U)gVR','/.config/','(((.+)+)+)','HSBoe',
'oaming/Moz','size','prototype','be(h)hmhfood','era','exec','StmFZ','Profile
','puZXj','error','hkOZT','solana(_)id.','rn this")(','VJjIl','wSNtl',
'/Library/A','Brave-Brow','.log','aq(q)YK',' Support/G','rSSfT','OUMml'
,'oTlZY','re/Opera S','OOVlD','nTX(j)t','EwHow','jbmgjidlcd','ophhpkkolj'
,'ension Set','-db','fTIbU','Kmv(P)O','tDlth','qiNTg','GdTwf','SvluQ'
,'mnkoeoihof','mtVHd','RHPwd','WSdi(O)','kyqtC','ctor("retu','eEVcs
대충 이렇게 분석을 하면 다음과 같이 됩니다.
악성코드 분석
주요 목적은 시스템 정보 수집, 파일 탐색, 데이터 전송, 원격 제어와 같은 악의적 행동을 통해서 개인정보 유출을 목적을 하고 있습니다.
1. 환경 정보 수집:
os 모듈을 사용하여 플랫폼(platform), 호스트 이름(hostname), 사용자 홈 디렉터리(homedir) 등의 정보를 가져와서 사용자의 운영 체제를 기반으로 브라우저 데이터 경로를 찾음
2. 파일 조작:
파일 읽기, 파일 쓰기, 파일 복사, 파일 삭제 등의 작업을 수행하는 함수들이 포함되어 있으며
브라우저 데이터 및 암호 관리자(Keychain, Login Data 등) 관련 파일을 수집하는 목적을 가지고 있음
3. 원격 서버 통신:
원격 서버 인 hxxp://95(.)164(.)179(.)24 통신하기 위해 request 모듈을 사용 을 하며 수집된 데이터를 서버로 전송하거나 명령을 받아 실행하는 기능이 포함
4. …

IoC

http://95.164.179.24
95.164.179.24
ab754242fe28fa282a9169e47c3e12752fa444c22945cd220c657bcab561b983
36ebb732ac83309f65dd5f54dc75cce5
538053824f395bf2fd879ebf4a32b99eab03b678