lazarusholic

Everyday is lazarus.dayβ

Lazarus 그룹 DLL-Side Loading 기법 이용 (2)

2024-01-17, Ahnlab
https://asec.ahnlab.com/ko/60470/
#LazarLoader

Contents

AhnLab SEcurity intelligence Center(ASEC)은 “Lazarus 그룹 DLL-Side Loading 기법 이용”[1] 블로그를 통해 Lazarus 공격 그룹이 초기 침투 단계에서 다음 공격 단계 달성을 위해 정상 응용 프로그램을 이용한 DLL Side-Loading 공격 기법을 사용하는 방식들을 다루었다. 여기에서는 추가된 변종 DLL들과 감염 대상 검증 루틴을 다룬다.
Lazarus 그룹은 국내 기업, 기관, 싱크탱크와 같은 분야에 공격을 수행하는 APT 그룹이다. 지난 2024.01.12 ASD(AhnLab Smart Defense) 인프라를 통해 Lazarus 그룹이 악성코드를 실행할 때 주로 사용하는 기법인 DLL-Side Loading(T1574.002 Hijack Execution Flow: DLL Side-Loading)의 새로운 정상 프로그램이 확인되었다.
공격자는 초기 침투 단계, 악성코드 실행 단계에서 주로 DLL-Side Loading 기법을 사용한다. 이 방식은 정상적인 응용 프로그램과 악성 DLL을 같은 폴더 경로에 저장하여 응용 프로그램이 실행 될 때 악성 DLL이 함께 동작하도록 하는 기법이다. 즉, 악성 DLL의 이름을 정상 프로그램이 참조하는 다른 경로에 위치한 정상 DLL 파일명과 동일하게 변경하여 악성 DLL이 먼저 실행 되도록 하는 악성코드 실행 기법이다.
새롭게 확인된 정상 프로그램은 “wmiapsrv.exe”이다. wmiapsrv.exe 프로그램은 MS 정상 모듈이며 해당 모듈은 “wbemcomn.dll”을 로드하게 …

IoC

21def97a3c5b95df1e1aeb6486881656
edca71eda8650a2c591c37c780b6a0c5