Analysis of Lazarus malware abusing Non-ActiveX Module in South Korea
Contents
Executive Summary
- 최근 I사의 C프로그램 설치 여부를 확인하는 악성코드 샘플이 탐지됨
- 악성코드 제작 일시 : 2021–02–10 05:19:21 (UTC)
- 단, 악성코드 제작 일시는 공격자에 의해 변경이 쉽게 가능함
- 악성행위 수행 전 C프로그램 관련 파일 존재 여부를 확인한 뒤, 존재하지 않을 경우 추가 행위를 수행하지 않음
- 최종 행위로는 추가 악성코드를 국내 유포지로부터 다운로드 받고 실행
- 현재 추가 악성코드는 다운로드되지 않음
File Information
- MD5 : b3a8c88297daecdb9b0ac54a3c107797
- SHA-1 : 46660f562fe01b5df0e1ac03dd44b4cc8d2fa5f5
- SHA-256 : a881c9f40c1a5be3919cafb2ebe2bb5b19e29f0f7b28186ee1f4b554d692e776
- Creation Time : 2021–02–10 05:19:21
- VT First Submission : 2021–07–01 01:52:58
- Filename : ComparePlus, ComparePlus.dll, SCSKAppLink.dll
- File type : pedll, x86
- Signed file, valid signature
Detailed Analysis
1. 탐지된 샘플은 오픈소스로 공개된 ComparePlus라는 Notepad++ 플러그인의 정상 코드에 악성코드를 다운로드 받는 기능이 추가 된 형태
- Copyright : Copyright © 2019
- Product : ComparePlus (32-bit)
- Description : Compare plugin for Notepad++
- Original Name : ComparePlus.dll
- CompanyName : Pavel Nedev
- File Version : 1.0.0
2. 백신 등 보안장비 우회를 위해 악성코드를 정상 인증서로 서명
- Name : DOCTER USA, …
- 최근 I사의 C프로그램 설치 여부를 확인하는 악성코드 샘플이 탐지됨
- 악성코드 제작 일시 : 2021–02–10 05:19:21 (UTC)
- 단, 악성코드 제작 일시는 공격자에 의해 변경이 쉽게 가능함
- 악성행위 수행 전 C프로그램 관련 파일 존재 여부를 확인한 뒤, 존재하지 않을 경우 추가 행위를 수행하지 않음
- 최종 행위로는 추가 악성코드를 국내 유포지로부터 다운로드 받고 실행
- 현재 추가 악성코드는 다운로드되지 않음
File Information
- MD5 : b3a8c88297daecdb9b0ac54a3c107797
- SHA-1 : 46660f562fe01b5df0e1ac03dd44b4cc8d2fa5f5
- SHA-256 : a881c9f40c1a5be3919cafb2ebe2bb5b19e29f0f7b28186ee1f4b554d692e776
- Creation Time : 2021–02–10 05:19:21
- VT First Submission : 2021–07–01 01:52:58
- Filename : ComparePlus, ComparePlus.dll, SCSKAppLink.dll
- File type : pedll, x86
- Signed file, valid signature
Detailed Analysis
1. 탐지된 샘플은 오픈소스로 공개된 ComparePlus라는 Notepad++ 플러그인의 정상 코드에 악성코드를 다운로드 받는 기능이 추가 된 형태
- Copyright : Copyright © 2019
- Product : ComparePlus (32-bit)
- Description : Compare plugin for Notepad++
- Original Name : ComparePlus.dll
- CompanyName : Pavel Nedev
- File Version : 1.0.0
2. 백신 등 보안장비 우회를 위해 악성코드를 정상 인증서로 서명
- Name : DOCTER USA, …
IoC
46660f562fe01b5df0e1ac03dd44b4cc8d2fa5f5
61367c3a1d4c9ccaee568157bc4cf2feb997161ed3395878a448d8a2bf67dfa9
98151ba9f3e0a55bba16c58428b3a178
a881c9f40c1a5be3919cafb2ebe2bb5b19e29f0f7b28186ee1f4b554d692e776
b3a8c88297daecdb9b0ac54a3c107797
http://grandgolf.co.kr/html/facilities/facilities_01_06.asp?product_field=racket
http://www.kdone.co.kr/Utils/EmailUtil.asp?product_field=racket
http://www.namchuncheon.co.kr/admin/BookAppl/Search_left.asp?product_field=racket
61367c3a1d4c9ccaee568157bc4cf2feb997161ed3395878a448d8a2bf67dfa9
98151ba9f3e0a55bba16c58428b3a178
a881c9f40c1a5be3919cafb2ebe2bb5b19e29f0f7b28186ee1f4b554d692e776
b3a8c88297daecdb9b0ac54a3c107797
http://grandgolf.co.kr/html/facilities/facilities_01_06.asp?product_field=racket
http://www.kdone.co.kr/Utils/EmailUtil.asp?product_field=racket
http://www.namchuncheon.co.kr/admin/BookAppl/Search_left.asp?product_field=racket