개인적으로 운용중인 OpenCTI에서 또 다른 Lazarus 그룹의 Beavertail 악성코드가 발견되었다.
이전의 Beavertail 악성코드와 비슷한 형태를 띄고 있다. 이전 악성코드 분석 글은 아래 링크에 존재한다.
https://p3ngdump.tistory.com/156
87. Lazarus's Beavertail (MacOS)
얼마 전, Lazarus 그룹이 MacOS 화상통화 앱에 악성코드를 삽입해 정보를 탈취하는 등의 악성행위를 수행했던 것이 밝혀졌다. 본 글에서 해당 샘플을 분석한다. 해당 악성코드는 FreeConference 앱을 위
p3ngdump.tistory.com
https://p3ngdump.tistory.com/158
88. Lazarus's BeaverTail 2 (Python)
지난 2024년 09월 28일에 분석해 공유했던 아래 글과 관련된 추가적인 Python 악성코드들을 발견했다.https://p3ngdump.tistory.com/156 87. Lazarus's Beavertail (MacOS)얼마 전, Lazarus 그룹이 MacOS 화상통화 앱에 악
p3ngdump.tistory.com
main7_702.py 파일과 함께, 코인 지갑 관련 스틸러인 mclip7_702.py, 브라우저 관련 스틸러인 brow7_702.py, 이외 페이로드 관련 스틸러인 pay7_702.py도 발견되었다.
해당 악성코드는 전의 Beavertail 악성코드와 같이 base64 로 여러번 인코딩 된 파이썬 코드이다.
해당 인코딩을 모두 디코딩하면 아래와 같은 코드가 등장하며, 이 코드는 이전의 Beavertail 악성코드와 비슷하다. 이전의 Beavertail 악성코드와는 C2 서버 및 sType, gType의 값이 다른 것으로 파악된다.
* C2 서버: 85[.]104[.]74[.]51
* sType: 7
* gType: 702
해당 C2 서버의 내역을 살펴보면, 이전의 Beavertail 악성코드와 같이 인터넷 공급자가 Stark Industries Solutions인 것을 볼 수 있다.
해당 악성코드가 발견된 일자는 11월 27일로, 지난 10월경 Beavertail 악성코드 유포에 이은 2차 유포로 보여진다. Lazarus 그룹은 Python 언어를 적극 사용하고 있는 것으로 보이고 악성코드의 재활용을 통해 악성코드 개발 리소스의 부족을 커버하려는 것으로 보인다.
'Analysis' 카테고리의 다른 글
| 96. nj.exe(Quasar RAT) (0) | 2024.12.18 |
|---|---|
| 95. DDoSia (1) | 2024.12.16 |
| 93. Kimsuky's pay.bat (1) | 2024.11.29 |
| 92. HijackLoader (IDAT Loader) (0) | 2024.11.21 |
| 91. MalLlama(악성코드 분석에 LLM 활용) (0) | 2024.11.16 |
