Lazarus 그룹의 InvisibleFerret 악성코드
Contents
Lazarus 그룹의 InvisibleFerret 악성코드
( Document No : DT-20241014-001 )
www.hauri.co.kr
악성코드 상세 분석 보고서
하우리
ㅇ 분석 개요
북한 해킹 그룹 Lazarus 는 구직자들을 대상으로 채용 과제에 InvisibleFerret 악성코드를
숨겨 유포하고 있다. 이들은 여전히 Github 저장소를 활용해 악성코드를 배포하고 있으며,
이전과 달리 난독화 방식을 변경하고 새로운 키로깅 악성코드를 추가하는 등 지속적으로
변화를 시도하고 있다.
[InvisibleFerret 악성코드 구성 중 추가된 Keylogger 악성코드]
[이전 InvisibleFerret 악성코드에 적용된 코드 난독화]
[현재 유포되고 있는 InvisibleFerret 악성코드 코드 난독화]
페이지 2 / 12
악성코드 상세 분석 보고서
하우리
1. main10_101.py
(MD5 : 1F7300095455C1AEC937EFBB974021D0, SIZE : 5,075)
개요 : Backdoor, InfoStealer, Keylogger 악성코드들을 다운로드 받아와 실행하는 Downloader
역할을 한다.
ViRobot
Python.S.Downloader.5075
상세분석 :
(1) 보안 솔루션들의 탐지를 회피하기 위해 코드를 난독화 하였으며, “Zlib -> BASE64 ->
Reverse” 순서로 총 50 번 반복하여 코드 난독화를 했다.
[그림 1] 난독화된 코드
[그림 2] 난독화 해제된 코드
(2) 난독화 해제된 코드는 사용자 PC 에 “requests” 모듈이 없을 경우 pip 를 사용해 모듈을
설치한다.
[그림 3] requests 모듈 설치
페이지 3 / 12
악성코드 상세 분석 보고서
하우리
(3) C&C 서버에서 Backdoor, InfoStealer, Keylogger 악성코드들을 다운로드 받아와 실행한다.
[그림 4] …
( Document No : DT-20241014-001 )
www.hauri.co.kr
악성코드 상세 분석 보고서
하우리
ㅇ 분석 개요
북한 해킹 그룹 Lazarus 는 구직자들을 대상으로 채용 과제에 InvisibleFerret 악성코드를
숨겨 유포하고 있다. 이들은 여전히 Github 저장소를 활용해 악성코드를 배포하고 있으며,
이전과 달리 난독화 방식을 변경하고 새로운 키로깅 악성코드를 추가하는 등 지속적으로
변화를 시도하고 있다.
[InvisibleFerret 악성코드 구성 중 추가된 Keylogger 악성코드]
[이전 InvisibleFerret 악성코드에 적용된 코드 난독화]
[현재 유포되고 있는 InvisibleFerret 악성코드 코드 난독화]
페이지 2 / 12
악성코드 상세 분석 보고서
하우리
1. main10_101.py
(MD5 : 1F7300095455C1AEC937EFBB974021D0, SIZE : 5,075)
개요 : Backdoor, InfoStealer, Keylogger 악성코드들을 다운로드 받아와 실행하는 Downloader
역할을 한다.
ViRobot
Python.S.Downloader.5075
상세분석 :
(1) 보안 솔루션들의 탐지를 회피하기 위해 코드를 난독화 하였으며, “Zlib -> BASE64 ->
Reverse” 순서로 총 50 번 반복하여 코드 난독화를 했다.
[그림 1] 난독화된 코드
[그림 2] 난독화 해제된 코드
(2) 난독화 해제된 코드는 사용자 PC 에 “requests” 모듈이 없을 경우 pip 를 사용해 모듈을
설치한다.
[그림 3] requests 모듈 설치
페이지 3 / 12
악성코드 상세 분석 보고서
하우리
(3) C&C 서버에서 Backdoor, InfoStealer, Keylogger 악성코드들을 다운로드 받아와 실행한다.
[그림 4] …
IoC
1F7300095455C1AEC937EFBB974021D0
95.164.17.24
95.164.7.171
C933AEC60FBD4E8B946025D718AFAED9
D1A2EE0FC37380A451584F9E5EDD3DD7
DEFE30D5091810C856ED1F28D7D7E5BE
http://95.164.17.24:1224/keys
http://95.164.17.24:1244/brow/10/101
http://95.164.17.24:1244/mclip/10/101
http://95.164.17.24:1244/payload/10/101
http://95.164.7.171:8637/adc/10/101
http://95.164.7.171:8637/api/clip
http://95.164.7.171:8637/brow /10/101
http://95.164.7.171:8637/client/10/101
http://95.164.7.171:8637/keys
http://95.164.7.171:8637/mclip/10/101
http://95.164.7.171:8637/payload/10/101
95.164.17.24
95.164.7.171
C933AEC60FBD4E8B946025D718AFAED9
D1A2EE0FC37380A451584F9E5EDD3DD7
DEFE30D5091810C856ED1F28D7D7E5BE
http://95.164.17.24:1224/keys
http://95.164.17.24:1244/brow/10/101
http://95.164.17.24:1244/mclip/10/101
http://95.164.17.24:1244/payload/10/101
http://95.164.7.171:8637/adc/10/101
http://95.164.7.171:8637/api/clip
http://95.164.7.171:8637/brow /10/101
http://95.164.7.171:8637/client/10/101
http://95.164.7.171:8637/keys
http://95.164.7.171:8637/mclip/10/101
http://95.164.7.171:8637/payload/10/101