lazarusholic

2025-08-18, Sakai
https://wezard4u.tistory.com/429572
#PylangGhost

오늘은 북한 Lazarus(라자루스) 에 속하는 Famous Chollima가 새로운 원격 접근 트로이목마인 PyLangGhost 중 하나인 auto.py(2025.8.7) 에 대해 분석을 해보겠습니다.
해쉬
파일명:auto.py
사이즈:1 MB
MD5:29cfa008d4364c526f7c82ba1bef7cb0
SHA-1:0da2437fb9c4e371618351f8fabc673caefd9e81
SHA-256:bb794019f8a63966e4a16063dc785fafe8a5f7c7553bcd3da661c7054c6674c7
auto.py 악성코드 분석
1.autoGatherMode():
Google Chrome 프로필별 특정 확장 프로그램의 로컬 저장 데이터를 찾아 압축하고 나서 반환
기본 Default 프로필+Profile 디렉터리 탐색
각 프로필의 Local Extension Settings/(확장 ID) 경로 검사->존재하면 리스트에 추가
util.com0715press(zipDirectories)로 압축
(성공마커, b"gather.tar.gz", 압축바이트) 형태 반환
구글 크롬 브라우저의 확장 프로그램 저장소(예: 암호 지갑, OTP 확장 등) 데이터를 수집해 공격자에게 탈취당할 수가 있음
2.check_adminRole():현재 프로세스가 관리자 권한 여부 확인
v20 크롬 암호 복호화 SYSTEM 권한 접근 이 필요 하고 사전 권한 확인 용도로 판단
여기서 V20 이란?2024년 7월에 출시된 구글 크롬 127 버전부터 도입된 새로운 보안 기능이며 app-bound encryption은 사용자의 브라우저 데이터(특쿠키와 로그인 정보)를 특정 구글 크롬 에 암호화하여 묶어두는
보안 기술이며 app_bound_encrypted_key는 구글 크롬에서 브라우저 계정 탈취를 예방하기 위해서 도입이 되었지만 뭐~이런 것을 노리는 해커들은 다 뚫는 방법을 찾는 것임
3.getSecretKey(local_state_path):Google Chrome v10 버전용 마스터 키 복호화
Local State 파일 열고 JSON 파싱
os_crypt encrypted_key 추출
Base64 디코딩 후 앞 5바이트(DPAPI prefix) …

0da2437fb9c4e371618351f8fabc673caefd9e81
29cfa008d4364c526f7c82ba1bef7cb0
bb794019f8a63966e4a16063dc785fafe8a5f7c7553bcd3da661c7054c6674c7