악성코드로 둔갑한 Putty
Contents
<분석 개요>
작년 6월부터 북한의 해킹 그룹 라자루스(Lazarus)는 PuTTY, KiTTY, TightVNC, Sumatra PDF Reader, muPDF/Subliminal Recording와 같은 오픈소스 소프트웨어들을 수정하여 악성코드를 제작하고 있으며, LinkedIn에서 특정 회사들의 채용담당자로 위장하여 엔지니어들에게 접근하여 악성코드를 유포하였다. 수정된 오픈소스 소프트웨어들은 실행만으로 악성 행위를 하지 않으며, 사용자가 특정 PDF를 열람하거나 수정된 Putty로 특정 서버를 접속을 하는 등 특정 이벤트가 발생해야 악성 행위를 시작하는 공격 방식을 사용하고 있다. 이는 SandBox을 사용한 자동 분석을 회피하기 위함으로 보인다.
<악성코드 순서도>
Top
작년 6월부터 북한의 해킹 그룹 라자루스(Lazarus)는 PuTTY, KiTTY, TightVNC, Sumatra PDF Reader, muPDF/Subliminal Recording와 같은 오픈소스 소프트웨어들을 수정하여 악성코드를 제작하고 있으며, LinkedIn에서 특정 회사들의 채용담당자로 위장하여 엔지니어들에게 접근하여 악성코드를 유포하였다. 수정된 오픈소스 소프트웨어들은 실행만으로 악성 행위를 하지 않으며, 사용자가 특정 PDF를 열람하거나 수정된 Putty로 특정 서버를 접속을 하는 등 특정 이벤트가 발생해야 악성 행위를 시작하는 공격 방식을 사용하고 있다. 이는 SandBox을 사용한 자동 분석을 회피하기 위함으로 보인다.
<악성코드 순서도>
Top
IoC
https://blockchain-newtech.com/download/download.asp
1D5AD4A60EC9BE32C11AD99F234BFE8F
420A13202D271BABC32BF8259CDADDF3
183A514A151388D8348689922CC62929
C26CE084A631E11B250280724ADFEA0A
2F86BB7B912A61F8D323DDE362C0DD1A
D0C2F269E8C70F5211974B82D6B79856
1D5AD4A60EC9BE32C11AD99F234BFE8F
420A13202D271BABC32BF8259CDADDF3
183A514A151388D8348689922CC62929
C26CE084A631E11B250280724ADFEA0A
2F86BB7B912A61F8D323DDE362C0DD1A
D0C2F269E8C70F5211974B82D6B79856