북한 라자루스(Lazarus) 산하 BlueNorOff(블루노로프) 만든 맥OS 악성코드-Internal PDF Viewer(2023.4.23)
Contents
북한에서 만든 해킹 그룹인 라자루스(Lazarus)산하 BlueNorOff(블루노로프) 에서 만든 맥북(MacBook)을 감염시키기 위한 악성코드이며 해당 악성코든 랜섬웨어 형태이며 즉 맥북(MacBook)을 감염을 시켜서 몸값을 통해서 가상화폐(암호 화폐)를 획득해서 북한의 미사일, 북한 핵무기 등을 만들려고 하는 범죄로 수정됩니다. 일단 개인적으로 컴퓨터 환경이 영 좋지 않은 관계를 분석하는데 한계가 있습니다.
어차피 북한 정찰총국의 지시를 받는 사이버 공격을 하는 집단입니다. 일단 해당 보통은 맥OS를 사용을 하는 맥북 같은 경우에는 악성코드가 존재하지 않는 걸로 생각을 하지만 해당 맥북에서도 악성코드는 존재하고 있으면 아마도 북한정찰총국에서 아마도 맥북 대상으로 랜섬웨어를 통해서 가상화폐(암호화폐)를 벌어들이려고 하는 것이 아닌가 생각합니다.
파일명:Internal PDF Viewer
사이즈:210 KB
CRC32:1a23b188
MD5:f8800dd176487601ccf2e27c094b297b
SHA-1:e0e42ac374443500c236721341612865cd3d1eec
SHA-256:e74e8cdf887ae2de25590c55cb52dad66f0135ad4a1df224155f772554ea970c
SHA-512: 0421dc488450ee28eb092ca44cd10e3b06d35e89408230359a738bbf203df4409ceeae2a2147f91351be43306658ab7c09f37f10d6fd66dbbb39cbbd295c0da9
해당 악성코드 동작은 명령 및 제어(C2) 서버와 통신하여 다양한 페이로드를 다운로드하고 실행하는 macOS(맥OS)이며 RustBucket 이름으로 하고 있으며 먼저 암호화하는 부분을 보겠습니다.
x86_64:__TEXT:0x1000035B3 _encrypt_data proc start x86_64:__TEXT:0x1000035B3 ; EXPORT x86_64:__TEXT:0x1000035B3 ; CODE XREF: 0x1000038A2 x86_64:__TEXT:0x1000035B3 ; CODE XREF: 0x10000391C x86_64:__TEXT:0x1000035B3 55 push rbp x86_64:__TEXT:0x1000035B4 48 89 E5 mov rbp, rsp x86_64:__TEXT:0x1000035B7 41 57 push r15 x86_64:__TEXT:0x1000035B9 41 56 push r14 x86_64:__TEXT:0x1000035BB 41 55 …
어차피 북한 정찰총국의 지시를 받는 사이버 공격을 하는 집단입니다. 일단 해당 보통은 맥OS를 사용을 하는 맥북 같은 경우에는 악성코드가 존재하지 않는 걸로 생각을 하지만 해당 맥북에서도 악성코드는 존재하고 있으면 아마도 북한정찰총국에서 아마도 맥북 대상으로 랜섬웨어를 통해서 가상화폐(암호화폐)를 벌어들이려고 하는 것이 아닌가 생각합니다.
파일명:Internal PDF Viewer
사이즈:210 KB
CRC32:1a23b188
MD5:f8800dd176487601ccf2e27c094b297b
SHA-1:e0e42ac374443500c236721341612865cd3d1eec
SHA-256:e74e8cdf887ae2de25590c55cb52dad66f0135ad4a1df224155f772554ea970c
SHA-512: 0421dc488450ee28eb092ca44cd10e3b06d35e89408230359a738bbf203df4409ceeae2a2147f91351be43306658ab7c09f37f10d6fd66dbbb39cbbd295c0da9
해당 악성코드 동작은 명령 및 제어(C2) 서버와 통신하여 다양한 페이로드를 다운로드하고 실행하는 macOS(맥OS)이며 RustBucket 이름으로 하고 있으며 먼저 암호화하는 부분을 보겠습니다.
x86_64:__TEXT:0x1000035B3 _encrypt_data proc start x86_64:__TEXT:0x1000035B3 ; EXPORT x86_64:__TEXT:0x1000035B3 ; CODE XREF: 0x1000038A2 x86_64:__TEXT:0x1000035B3 ; CODE XREF: 0x10000391C x86_64:__TEXT:0x1000035B3 55 push rbp x86_64:__TEXT:0x1000035B4 48 89 E5 mov rbp, rsp x86_64:__TEXT:0x1000035B7 41 57 push r15 x86_64:__TEXT:0x1000035B9 41 56 push r14 x86_64:__TEXT:0x1000035BB 41 55 …
IoC
0421dc488450ee28eb092ca44cd10e3b06d35e89408230359a738bbf203df4409ceeae2a2147f91351be43306658ab7c09f37f10d6fd66dbbb39cbbd295c0da9
104.76.210.15
17.125.250.130
17.250.99.100
17.250.99.79
17.253.27.202
184.25.164.217
224.0.0.1
23.198.224.36
23.198.226.30
23.198.249.163
23.44.229.223
23.62.216.24
23.75.68.149
255.255.255.255
54.189.10.237
67.195.204.56
67.195.228.56
72.21.91.29
8.8.8.8
e0e42ac374443500c236721341612865cd3d1eec
e74e8cdf887ae2de25590c55cb52dad66f0135ad4a1df224155f772554ea970c
f8800dd176487601ccf2e27c094b297b
http://104.76.210.15:443
http://17.125.250.130:443
http://17.250.99.100:443
http://17.250.99.79:443
http://17.253.27.202:443
http://184.25.164.217:443
http://224.0.0.1
http://23.198.224.36:443
http://23.198.226.30:443
http://23.198.249.163:443
http://23.44.229.223:443
http://23.62.216.24:443
http://23.75.68.149:443
http://255.255.255.255:67
http://54.189.10.237:443
http://67.195.204.56:443
http://67.195.228.56:443
http://72.21.91.29:80
104.76.210.15
17.125.250.130
17.250.99.100
17.250.99.79
17.253.27.202
184.25.164.217
224.0.0.1
23.198.224.36
23.198.226.30
23.198.249.163
23.44.229.223
23.62.216.24
23.75.68.149
255.255.255.255
54.189.10.237
67.195.204.56
67.195.228.56
72.21.91.29
8.8.8.8
e0e42ac374443500c236721341612865cd3d1eec
e74e8cdf887ae2de25590c55cb52dad66f0135ad4a1df224155f772554ea970c
f8800dd176487601ccf2e27c094b297b
http://104.76.210.15:443
http://17.125.250.130:443
http://17.250.99.100:443
http://17.250.99.79:443
http://17.253.27.202:443
http://184.25.164.217:443
http://224.0.0.1
http://23.198.224.36:443
http://23.198.226.30:443
http://23.198.249.163:443
http://23.44.229.223:443
http://23.62.216.24:443
http://23.75.68.149:443
http://255.255.255.255:67
http://54.189.10.237:443
http://67.195.204.56:443
http://67.195.228.56:443
http://72.21.91.29:80