본문 바로가기

Analysis

32. Lazarus Graph

이번 글에서는 이전부터 연결해왔던 북한 해킹그룹인 라자루스 그룹의 연관관계 그래프를 업로딩하고자 한다.

 

전체 그래프

 

일단 전체 그래프는 위와 같다.(많은 샘플에 대한 그래프는 아니다.)

각 구역을 상하좌우로 4등분해서 한 구역당 하나의 공격 혹은 비슷한 샘플들의 위치이다. 언뜻 보기에도 다른 유형의 공격, 다른 유형의 샘플임에도 불구하고 C2 서버와 같은 것들이 서로 연관돼 있는 것을 볼 수 있다.

 

물론 여기서의 C2 서버는 VPN 등을 이용해 다른 나라로 거쳐간 C2 들이겠지만..

 

각 구역을 상세히 살펴보면

 

1구역

 

먼저, 홉라이트 악성코드들과 작년 말쯤 유포되었던 한글 악성코드에 연관관계가 있는 것을 볼 수 있다.

둘의 공격은 엄연히 다른 샘플과 공격 유형이지만, 각각이 비슷한 샘플에서 겹치는 샘플이 나타나는 것을 볼 수 있다.

 

2구역

 

이 부분은 작년에 유포되었던 CES 와 관련한 문서에 대한 관계도이다.

이 부분에 대해서는 유사한 샘플들만 존재했을 뿐 다른 공격들과의 연관성은 없었다.(적은 샘플안에서는)

 

3구역

 

이 부분 또한, 작년에 유포되었던 scv 악성코드와 관련한 관계도이다. scv 악성코드의 경우에는 다른 여타 라자루스 그룹의 악성코드들과 깊은 연관성이 있는 것으로 나타났다.

 

반응형

'Analysis' 카테고리의 다른 글

34. makop ransomware  (0) 2020.04.19
33. Remcos  (0) 2020.04.16
31. Lazarus's Ratankba  (0) 2020.01.21
30. Lazarus's Dtrack  (0) 2020.01.01
29. Konni's 답변서.hwp  (0) 2019.12.17