최근 VirusTotal에 아래 글과 관련되어 보이는 Ransomware가 다수 나타났다.
https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/
Lazarus 그룹이 이용한 VHD Ransomware로 보이는데, 이와 관련해 Maltego를 이용해 관련 파일들 등의 정보를 찾아봤다.
(이미 분석 글 등은 많이 공개되어 있기도 하고, 랜섬웨어이기 때문에 핵심 기능은 파일 암호화에 집중되어있어 샘플 분석 내용은 담지 않았다.)
발견한 파일 hash는 아래와 같다.
- a5c073c154010ae32b0d9643b56f6cfebc7263d676b66d8efc445ccb9c22b927
- 9e671cdb8cd195ed1d994f2f3fb13cae603ecf6c9538288c578e5193d7491a37
- c0eb28d1a9a3181fdee73f9691f5fbdd121ea07a3fe9302e028117f566e9c691
- d12bf27921b0ebacf048c7a8619e9226040cac0dcb269e5ff23e85ffd98fbc39
- bafd39fedf73c2eed4763133328274ac6d9ff02390a6591088196001b113dc1f
- d04556a30710d085a6f81d48a4d749267ce016bb953c9fb001b33a0e54331146
위 파일들에 대해 maltego transform등을 이용해 추적한 오버뷰 그래프는 아래와 같다.
기본적으로 6개 샘플은 모두 연관성이 있는 것으로 나타났고, xoristransomware나 crypto locker등의 다른 탐지명으로도 탐지된 것을 확인했다.
이외에 파일의 관련 시간대도 2023년 4월 18일~19일 사이로 나타났다.
관련 ATT&CK도 아래와 같이 나타났다.
- T1005
- T1059.001
- T1059
- T1060
- T1064
- T1071
- T1071.001
- T1081
- T1086
- T1112
- T1486
- T1547
- T1547.001
더 자세한 정보는 아래 maltego로 생성한 보고서 파일에 담겨있다.
'Analysis' 카테고리의 다른 글
| 46. Kimsuky's CHM (0) | 2023.05.25 |
|---|---|
| 45. Aukill (0) | 2023.05.08 |
| 43. 3CX Supply Chain Attack (0) | 2023.04.06 |
| 42. Kimsuky's 협의 이혼 의사 확인 신청서.docx (0) | 2023.03.22 |
| 41. Kimsuky's [KBS 일요진단]질문지.docx (0) | 2023.03.04 |
