북한 라자루스(Lazarus) 산하 BlueNorOff(블루노로프) 만든 맥OS 악성코드-ProcessRequest(2023.11.7)
Contents
북한에서 만든 해킹 그룹인 라자루스(Lazarus)산하 BlueNorOff(블루노로프) 에서 만든 맥북(MacBook)을 감염시키기 위한 악성코드이며 해당 악성코드는 즉 맥북(MacBook)을 감염을 시켜서 당연히 Apple 고객(애플 고객)을 상대로 만들어진 악성코드 이며 주요목표는 간단합니다.북한 김정은 등 체제에서 명품 가방,미사일 개발,핵 개발등을 하기 위해서 돈이 필요하고 국제제제로 인해 돈을 얻지 못하니 가상화폐(암호화폐)쪽으로 눈을 돌리면서 가상화폐 거래소,암호화폐 거래소,벤처 캐피탈 회사, 은행 등을 타켓으로 하고 있으며 먼저 해쉬값은 다음과 같습니다.
파일명:ProcessRequest
사이즈:165 KB
MD5:9294648d744703cfa0456ec74d014fe4
SHA-1:79337ccda23c67f8cfd9f43a6d3cf05fd01d1588
SHA-256:8bfa4fe0534c0062393b6a2597c3491f7df3bf2eabfe06544c53bdf1f38db6d4
ProcessRequest은 임시 서명되었으며 도메인과 통신 합니다.
URL에서 합법적인 블로그를 호스팅하는 도메인 에서 운영되는 합법적인 암호화폐 거래소가 존재하기 때문에 의심
해당 주소는 다음과 같습니다.
swissborg(.)com/blog swissborg(.)com
악성코드는 명령 및 제어(C2) URL을 서로 연결된 두 개의 개별 문자열로 분할
정적 기반 탐지를 회피하려는 시도일 가능성이 큼
ARM64:__TEXT:0x100003D20 ARM64:__TEXT:0x100003D20 _objc_msgSend$resume proc start ARM64:__TEXT:0x100003D20 ; EXPORT ARM64:__TEXT:0x100003D20 ; CODE XREF: 0x100003AB4 ARM64:__TEXT:0x100003D20 21 00 00 B0 adrp x1, 0x100008000 ARM64:__TEXT:0x100003D24 21 1C 40 F9 ldr x1, [x1, 0x38] ARM64:__TEXT:0x100003D28 10 00 00 B0 adrp x16, 0x100004000 ARM64:__TEXT:0x100003D2C 10 12 40 F9 ldr x16, [x16, 0x20] ARM64:__TEXT:0x100003D30 00 02 1F …
파일명:ProcessRequest
사이즈:165 KB
MD5:9294648d744703cfa0456ec74d014fe4
SHA-1:79337ccda23c67f8cfd9f43a6d3cf05fd01d1588
SHA-256:8bfa4fe0534c0062393b6a2597c3491f7df3bf2eabfe06544c53bdf1f38db6d4
ProcessRequest은 임시 서명되었으며 도메인과 통신 합니다.
URL에서 합법적인 블로그를 호스팅하는 도메인 에서 운영되는 합법적인 암호화폐 거래소가 존재하기 때문에 의심
해당 주소는 다음과 같습니다.
swissborg(.)com/blog swissborg(.)com
악성코드는 명령 및 제어(C2) URL을 서로 연결된 두 개의 개별 문자열로 분할
정적 기반 탐지를 회피하려는 시도일 가능성이 큼
ARM64:__TEXT:0x100003D20 ARM64:__TEXT:0x100003D20 _objc_msgSend$resume proc start ARM64:__TEXT:0x100003D20 ; EXPORT ARM64:__TEXT:0x100003D20 ; CODE XREF: 0x100003AB4 ARM64:__TEXT:0x100003D20 21 00 00 B0 adrp x1, 0x100008000 ARM64:__TEXT:0x100003D24 21 1C 40 F9 ldr x1, [x1, 0x38] ARM64:__TEXT:0x100003D28 10 00 00 B0 adrp x16, 0x100004000 ARM64:__TEXT:0x100003D2C 10 12 40 F9 ldr x16, [x16, 0x20] ARM64:__TEXT:0x100003D30 00 02 1F …
IoC
104.168.214.151
104.76.210.89
142.250.9.94
17.248.186.177
17.248.195.72
17.248.200.66
17.253.20.253
17.253.7.207
17.32.194.2
17.36.203.0
184.25.164.143
192.229.211.108
23.33.241.186
23.47.64.173
23.47.64.24
23.55.60.32
54.80.119.162
74.125.136.101
79337ccda23c67f8cfd9f43a6d3cf05fd01d1588
8bfa4fe0534c0062393b6a2597c3491f7df3bf2eabfe06544c53bdf1f38db6d4
9294648d744703cfa0456ec74d014fe4
http://104.168.214.151:80
http://104.76.210.89:443
http://142.250.9.94:80
http://17.248.186.177:443
http://17.248.195.72:443
http://17.248.200.66:443
http://17.253.20.253:123
http://17.253.7.207:443
http://17.32.194.2:443
http://17.36.203.0:443
http://184.25.164.143:443
http://192.229.211.108:80
http://23.33.241.186:443
http://23.47.64.173:443
http://23.47.64.24:443
http://23.55.60.32:443
http://54.80.119.162:443
http://74.125.136.101:443
http://swissborg.com
http://swissborg.com/blog
104.76.210.89
142.250.9.94
17.248.186.177
17.248.195.72
17.248.200.66
17.253.20.253
17.253.7.207
17.32.194.2
17.36.203.0
184.25.164.143
192.229.211.108
23.33.241.186
23.47.64.173
23.47.64.24
23.55.60.32
54.80.119.162
74.125.136.101
79337ccda23c67f8cfd9f43a6d3cf05fd01d1588
8bfa4fe0534c0062393b6a2597c3491f7df3bf2eabfe06544c53bdf1f38db6d4
9294648d744703cfa0456ec74d014fe4
http://104.168.214.151:80
http://104.76.210.89:443
http://142.250.9.94:80
http://17.248.186.177:443
http://17.248.195.72:443
http://17.248.200.66:443
http://17.253.20.253:123
http://17.253.7.207:443
http://17.32.194.2:443
http://17.36.203.0:443
http://184.25.164.143:443
http://192.229.211.108:80
http://23.33.241.186:443
http://23.47.64.173:443
http://23.47.64.24:443
http://23.55.60.32:443
http://54.80.119.162:443
http://74.125.136.101:443
http://swissborg.com
http://swissborg.com/blog