Lazarus APT 분석-lazarusholic

Lazarus APT 분석

2018-11-01, Somansa
https://www.somansa.com/wp-content/uploads/2019/08/%EC%9B%94%EA%B0%84-Security-Report-2018%EB%85%84-11%EC%9B%94.pdf
EC9B94EAB084-Security-Report-2018EB8584-11EC9B94.pdf, 576.1 KB
#BattleCruiser

No.16 | 2018 년 11 월

MALWARE ANALYSIS REPORT
No.16 | 2018 년 11 월

Lazarus APT 분석

(주) 소만사 악성코드 분석 센터

월간 Security Report
No.16 | 2018 년 11 월

목차
1. 개 요 ………………………………………………………...……………………………………………… 3
1.1 배 경 ………………………………………………………………..………………………………………………………………….. 3
1.2 파일 정보 …………………………………………………………………………………………………………………………….. 3

2. 분 석 ………………………………………………………………………………………………………… 4
2.1 Lazarus APT 분석 ………………………………………………………………………….………………………….…………...4
2.2 제작일자 …………………………….…………………………………………………………………..……………………………..5
2.3 악성 포스트 스크립트 (Post Script) ……………………………………………………………………………………...5
2.4 HWP 문서 파일 위장 ....…………………………………………………………………………..……………………………..7
2.5 악성 파일 ……………………………………………………………………………………………..………………………………..8
2.6 Lazarus Group 과의 연관성 …………………………………………………………………….…………………………….9
2.7 분석 결과 …………………………………………….………………………………………………………………………………11

3. 대 응 ………………………………………………..……………………………………………………… 11

-2-

월간 Security Report
No.16 | 2018 년 11 월

1. 보도자료

2. WebKeeper 대응
- 2018 년 10 월 N 일 NN 시 NN 분 파일 다운로드 링크 및 C2 서버 리스트 차단 완료 및 배포
[추가 파일 다운로드]
OS - 32Bit

https://flydashi.com/wp-content/plugins/askism1.pgi

OS - 64Bit

https://flydashi.com/wp-content/plugins/askism2.pgi

[C2 서버 리스트]
1. C2

https://theinspectionconsultant.com/wp-content/plugins/akismet/index1.php

2. C2

http://danagloverinteriors.com/wp-content/plugins/jetpack/common.php

3. C2

https://as-brant.ru/wp-content/themes/shapely/common.php

- 2018 년 10 월 N 일 웹키퍼 위클리를 통해 해당 내용 안내

3. 개 요
-3-

월간 Security Report
No.16 | 2018 년 11 월

3.1 배 경
2018 년 4 월 Lazarus Group 의 최신 APT …

IoC

1ff597e8bd590896c17d856188d1f0950a5a4cf4e7d2c0b40a6c1eb95c9586b3
60b56eff7fbc2413d1b755e8b3f2f4e94d000448a3cd16965c9411d88a1ac935
b2dd7f9bb24428b0e2ed30b9373fe033d981a29415576b4c654c0d999dd109e5
eee38c632c62ca95b5c66f8d39a18e23b9175845560af84b6a2f69b7f9b6ec1c
f6e1a146543d2903146698da5698b2a214201720c0be756c6e8d2a2f27dcfaff
http://danagloverinteriors.com/wp-content/plugins/jetpack/common.php
https://as-brant.ru/wp-content/themes/shapely/common.php
https://flydashi.com/wp-content/plugins/askism1.pgi
https://flydashi.com/wp-content/plugins/askism2.pgi
https://theinspectionconsultant.com/wp-content/plugins/akismet/index1.php

lazarusholic

Everyday is lazarus.day^β

Lazarus APT 분석

Contents

IoC