지난 2024년 09월 28일에 분석해 공유했던 아래 글과 관련된 추가적인 Python 악성코드들을 발견했다.
https://p3ngdump.tistory.com/156
87. Lazarus's Beavertail (MacOS)
얼마 전, Lazarus 그룹이 MacOS 화상통화 앱에 악성코드를 삽입해 정보를 탈취하는 등의 악성행위를 수행했던 것이 밝혀졌다. 본 글에서 해당 샘플을 분석한다. 해당 악성코드는 FreeConference 앱을 위
p3ngdump.tistory.com
해당 악성코드들은 개인적으로 운용중인 OpenCTI 플랫폼에서 발견했다. OpenCTI 플랫폼에서 Malware Bazaar 데이터를 끌어오도록 설정해뒀는데, 해당 데이터에서 잡힌 것으로 보여진다.
해당 악성코드들은 이전 글에서 분석했던 main99.py와 동일한 Python 악성코드로 보여진다. 다만, 이전 글에서 언급했던 것 처럼 피해자를 특정하는 것과 관련되어 보이는 sType, gType의 값만 각기 다르다. C2 도 동일하다.
이번 기회에 C2에 대해 조금 더 알아보았는데, 기본적으로 해당 C2는 XAMPP를 이용해 구축된 것으로 보여진다. 해당 IP로 접속시 아래와 같은 화면이 나타난다.
백엔드로는 PHP를 사용하는 것으로 보여진다.
해당 IP를 도메인으로 변환해보았는데, 아래와 같이 vm2749469[.]stark-industries[.]solutions 로 나타난다. 해당 *[.]stark-industries[.]solutions의 경우 이전에도 악성코드 유포에 종종 이용된 경우가 있었다.
stark-industries.solutions 도메인이 어떤 이유로 악성코드 유포에 동일하게 사용되었었는지 찾아보았는데, 아래와 같이 서버 임대 서비스인 것으로 보여진다. 아마도, 익명으로 서버를 임대해주는 것으로 보여지고 그 특성상 악성코드 유포자들이 해당 서버 임대를 자주 사용하는 것으로 보여진다. 이러한 특성을 Lazarus 그룹도 적극 활용하고 있는 것으로 보여진다.
북한측 공격자들은 익명 서버 임대, 정상 클라우드 서비스 (dropbox, onedrive 등)을 악성코드 유포에 적극 활용한다. 이 점은 피해자들의 눈을 속이거나, 백신 탐지를 회피하기 위한 것으로 추측된다. 결국 이러한 서비스를 활용한 악성코드 유포를 효율적으로 탐지하기 위해서는 히스토리 추적과 엔드포인트 탐지가 중요하지 않을까 생각된다.
'Analysis' 카테고리의 다른 글
| 87. Lazarus's Beavertail (MacOS) (2) | 2024.09.28 |
|---|---|
| 86. UNC2970 correlation with Lazarus (1) | 2024.09.24 |
| 85. Kimsuky's Twitch - Payment Plan.msc (1) | 2024.09.12 |
| 84. Head Mare correlation (0) | 2024.09.09 |
| 83. Kimsuky's rhfueo)@@) lnk malware (1) | 2024.09.06 |
