북한 Lazarus(라자루스) 가상화폐(암호화폐)탈취를 위해 만들어진 악성코드-config(.)py(2025.8.7)
Contents
오늘은 북한의 정찰총국 산하 김수키(Kimsuky)와 같이 있는 해킹 조직인 북한 Lazarus(라자루스) 가상화폐(암호화폐)탈취를 위해 만들어진 악성코드 config(.)py에 대해 알아보겠습니다.
파일명:config(.)py
사이즈:2,030 Bytes
MD5:ef9c744288d17f53d85f9fbeeea587e2
SHA-1:70132499c4b5a0cad01a261758036e5827fe0488
SHA-256:c7ecf8be40c1e9a9a8c3d148eb2ae2c0c64119ab46f51f603a00b812a7be3b45
악성코드 분석
해당 파이썬 코드는 Chrome/Chromium 프로필의 암호화 지갑 수집, 쿠키/키 추출, 파일 유출 그리고 원격동작을 하려고 설계된 악성코드입니다.
지속성 확보는 레지스트리 Run을 사용하고 있으며 하드 코드 된 C2 서버로 HTTP 전송
C2
UPLOAD0623URL =hxxp://151(.)243(.)101(.)229:8080->포트 8080을 사용하는 C2
비콘(주기) 딜레이:MIN0623SLEEP = 20,MAX0623SLEEP = 40초
에러 재시도/백오프:DURATION0623ERRORWAIT = 5
명령/프로토콜 토큰
짧은 토큰들을 사용해 동작을 지시하는 프로토콜
예를 들어서 다음과 같습니다.
MSG0623INFO="fwe9"
MSG0623LOG="1q2w"
MSG0623PING="poiu"
해당 토큰들은 트래픽,로컬 IPC에서 정보 요청, 업로드,다운로드, 터미널, 자동 크롬 수집 등 동작을 하려고 설계돼 있습니다.
컴퓨터 실행 시 지속성
REG0623PATH =Software\Microsoft\Windows\CurrentVersion\Run
REG0623KEY = csshost
csshost 이름으로 Run 키에 등록하여 시작 시 자동 실행
암호화폐(가상화폐)탈취 대상 (Chrome/Chromium )
AUTO0623CHROMEGATHER,AUTO0623CHROMECOOKIE,AUTO0623CHROMEKEYCHAIN 등으로 명시된 크롬 관련 루틴
EXTENSION0623NAMES에 나열된 확장 ID들은 대부분 암호화 지갑(crypto wallet) 또는 Web3 관련 확장
nkbihfbeogaeaoehlefnkodbefgpgknn->MetaMask
bfnaelmomeimhlpmgjnjophhpkkoljpa->Phantom
ibnejdfjmmkpcnlpebklmnkoeoihofec->Coinbase Wallet
egjidjbpglichdcondbcbdnbeeppgdph->Keplr
hmeobnfnfcmdkdcmlblgagmfpfboieaf->Rabby
확장 데이터(IndexedDB, Local Storage, Preferences 등) 수집
Base64 디코딩된 내용
PARAM0623 = lOKJS0103JEBV53NkuanloiHB872Nhe12m8vd2FpdC5qcGc=
Base64 형태이며 끝 부분 d2FpdC5qcGc= 는 디코딩하면 wait(.)jpg 가 되면 아마도 이미지 파일을 가장한 게이트, 버전 확인 용도로 사용될 것이 아닐까 생각이 됩니다.
머신 …
파일명:config(.)py
사이즈:2,030 Bytes
MD5:ef9c744288d17f53d85f9fbeeea587e2
SHA-1:70132499c4b5a0cad01a261758036e5827fe0488
SHA-256:c7ecf8be40c1e9a9a8c3d148eb2ae2c0c64119ab46f51f603a00b812a7be3b45
악성코드 분석
해당 파이썬 코드는 Chrome/Chromium 프로필의 암호화 지갑 수집, 쿠키/키 추출, 파일 유출 그리고 원격동작을 하려고 설계된 악성코드입니다.
지속성 확보는 레지스트리 Run을 사용하고 있으며 하드 코드 된 C2 서버로 HTTP 전송
C2
UPLOAD0623URL =hxxp://151(.)243(.)101(.)229:8080->포트 8080을 사용하는 C2
비콘(주기) 딜레이:MIN0623SLEEP = 20,MAX0623SLEEP = 40초
에러 재시도/백오프:DURATION0623ERRORWAIT = 5
명령/프로토콜 토큰
짧은 토큰들을 사용해 동작을 지시하는 프로토콜
예를 들어서 다음과 같습니다.
MSG0623INFO="fwe9"
MSG0623LOG="1q2w"
MSG0623PING="poiu"
해당 토큰들은 트래픽,로컬 IPC에서 정보 요청, 업로드,다운로드, 터미널, 자동 크롬 수집 등 동작을 하려고 설계돼 있습니다.
컴퓨터 실행 시 지속성
REG0623PATH =Software\Microsoft\Windows\CurrentVersion\Run
REG0623KEY = csshost
csshost 이름으로 Run 키에 등록하여 시작 시 자동 실행
암호화폐(가상화폐)탈취 대상 (Chrome/Chromium )
AUTO0623CHROMEGATHER,AUTO0623CHROMECOOKIE,AUTO0623CHROMEKEYCHAIN 등으로 명시된 크롬 관련 루틴
EXTENSION0623NAMES에 나열된 확장 ID들은 대부분 암호화 지갑(crypto wallet) 또는 Web3 관련 확장
nkbihfbeogaeaoehlefnkodbefgpgknn->MetaMask
bfnaelmomeimhlpmgjnjophhpkkoljpa->Phantom
ibnejdfjmmkpcnlpebklmnkoeoihofec->Coinbase Wallet
egjidjbpglichdcondbcbdnbeeppgdph->Keplr
hmeobnfnfcmdkdcmlblgagmfpfboieaf->Rabby
확장 데이터(IndexedDB, Local Storage, Preferences 등) 수집
Base64 디코딩된 내용
PARAM0623 = lOKJS0103JEBV53NkuanloiHB872Nhe12m8vd2FpdC5qcGc=
Base64 형태이며 끝 부분 d2FpdC5qcGc= 는 디코딩하면 wait(.)jpg 가 되면 아마도 이미지 파일을 가장한 게이트, 버전 확인 용도로 사용될 것이 아닐까 생각이 됩니다.
머신 …
IoC
70132499c4b5a0cad01a261758036e5827fe0488
c7ecf8be40c1e9a9a8c3d148eb2ae2c0c64119ab46f51f603a00b812a7be3b45
ef9c744288d17f53d85f9fbeeea587e2
c7ecf8be40c1e9a9a8c3d148eb2ae2c0c64119ab46f51f603a00b812a7be3b45
ef9c744288d17f53d85f9fbeeea587e2