이번 글에서는 이전부터 연결해왔던 북한 해킹그룹인 라자루스 그룹의 연관관계 그래프를 업로딩하고자 한다.
일단 전체 그래프는 위와 같다.(많은 샘플에 대한 그래프는 아니다.)
각 구역을 상하좌우로 4등분해서 한 구역당 하나의 공격 혹은 비슷한 샘플들의 위치이다. 언뜻 보기에도 다른 유형의 공격, 다른 유형의 샘플임에도 불구하고 C2 서버와 같은 것들이 서로 연관돼 있는 것을 볼 수 있다.
물론 여기서의 C2 서버는 VPN 등을 이용해 다른 나라로 거쳐간 C2 들이겠지만..
각 구역을 상세히 살펴보면
먼저, 홉라이트 악성코드들과 작년 말쯤 유포되었던 한글 악성코드에 연관관계가 있는 것을 볼 수 있다.
둘의 공격은 엄연히 다른 샘플과 공격 유형이지만, 각각이 비슷한 샘플에서 겹치는 샘플이 나타나는 것을 볼 수 있다.
이 부분은 작년에 유포되었던 CES 와 관련한 문서에 대한 관계도이다.
이 부분에 대해서는 유사한 샘플들만 존재했을 뿐 다른 공격들과의 연관성은 없었다.(적은 샘플안에서는)
이 부분 또한, 작년에 유포되었던 scv 악성코드와 관련한 관계도이다. scv 악성코드의 경우에는 다른 여타 라자루스 그룹의 악성코드들과 깊은 연관성이 있는 것으로 나타났다.
반응형
'Analysis' 카테고리의 다른 글
34. makop ransomware (0) | 2020.04.19 |
---|---|
33. Remcos (0) | 2020.04.16 |
31. Lazarus's Ratankba (0) | 2020.01.21 |
30. Lazarus's Dtrack (0) | 2020.01.01 |
29. Konni's 답변서.hwp (0) | 2019.12.17 |