오늘은 북한 라자루스(Lazarus) 단체에서 만든 브라우저 스틸러인 11.js(2024.12.28)에 대해 알아보겠습니다. 일단 해당 악성코드는 자바스크립트로 구성이 되어 있는 것이 특징이며 기본 목적은 간단합니다.
먼저 악성코드 해쉬값은 다음과 같습니다.
파일명:11.js
사이즈:47,274 Bytes
MD5:36ebb732ac83309f65dd5f54dc75cce5
SHA-1:538053824f395bf2fd879ebf4a32b99eab03b678
SHA-256:ab754242fe28fa282a9169e47c3e12752fa444c22945cd220c657bcab561b983
일단 개 난장판으로 되어 있는 것을 대충 난독화 해제를 하면 다음과 같이 된 것을 확인을 할 수가 있습니다.
'phepccionb'(,)'TZWxu','ion','constructo','164.17.24:','dlcobpjiig',
'TEfUe','lchlgh(e)cda','replace','ser','raveSoftwa','ivsOD','FcBfi',
'filename','writeF(i)leS','hostname','tPVMG','ogin.keych','12198KVfrYJ',
'apply','exception','f(z)iCz','/Library/K','ngcnapndod','ess','pVHqJ',
'aKCWf','sbjFh','VnLuB','N(E)rFo','existsSync','google-chr','child_proc'
,'vlvyM','iWQvP','com(.)ope(r)as','_lst',' Support/','Local/Goog','rerpq',
'accessSync','uJkFE','lu(a)XT','__proto__','nmhnfn(k)dna','oPiK(F)','logkc-db'
,'Local/Brav','nction() ','(l)meeeajnim','ome','LP(D)Es','6628510(j)FRhCE','" "',
'kbsWf','length','table','oper(a)','1(3)37hmKSNv','bFazW','wsowP','YGdeo',
'isDirector','on.exe','kpcn(l)pebkl','/uploads','Owtke','/.npl','oIqcM',
'mixiF','nmnYa','txt','/Local (E)xt','multi_file','rmSync','aYHbX','brld_'
,'oogle/Chro','TBUBr','CuwOQ','Z(U)gVR','/.config/','(((.+)+)+)','HSBoe',
'oaming/Moz','size','prototype','be(h)hmhfood','era','exec','StmFZ','Profile
','puZXj','error','hkOZT','solana(_)id.','rn this")(','VJjIl','wSNtl',
'/Library/A','Brave-Brow','.log','aq(q)YK',' Support/G','rSSfT','OUMml'
,'oTlZY','re/Opera S','OOVlD','nTX(j)t','EwHow','jbmgjidlcd','ophhpkkolj'
,'ension Set','-db','fTIbU','Kmv(P)O','tDlth','qiNTg','GdTwf','SvluQ'
,'mnkoeoihof','mtVHd','RHPwd','WSdi(O)','kyqtC','ctor("retu','eEVcs대충 이렇게 분석을 하면 다음과 같이 됩니다.
악성코드 분석
주요 목적은 시스템 정보 수집, 파일 탐색, 데이터 전송, 원격 제어와 같은 악의적 행동을 통해서 개인정보 유출을 목적을 하고 있습니다.
1. 환경 정보 수집:
os 모듈을 사용하여 플랫폼(platform), 호스트 이름(hostname), 사용자 홈 디렉터리(homedir) 등의 정보를 가져와서 사용자의 운영 체제를 기반으로 브라우저 데이터 경로를 찾음
2. 파일 조작:
파일 읽기, 파일 쓰기, 파일 복사, 파일 삭제 등의 작업을 수행하는 함수들이 포함되어 있으며
브라우저 데이터 및 암호 관리자(Keychain, Login Data 등) 관련 파일을 수집하는 목적을 가지고 있음
3. 원격 서버 통신:
원격 서버 인 hxxp://95(.)164(.)179(.)24 통신하기 위해 request 모듈을 사용 을 하며 수집된 데이터를 서버로 전송하거나 명령을 받아 실행하는 기능이 포함
4. 브라우저 데이터 접근 및 추출:
주요 브라우저 들인 구글 크롬, Firefox(파이어폭스), Opera(오페라) 등과 관련된 브라우주 연관된 데이터베이스 파일(. ldb,. log) 및 사용자 설정 파일을 찾고 해당 정보를 수집
저장된 암호, 쿠키 등을 추출 목적
대상 브라우저
Chrome (구글 크롬)
Brave (브레이브 브라우저)
Edge (마이크로소프트 엣지)
Opera (오페라 브라우저)
Firefox (모질라 파이어폭스)
5. 압축 및 파일 업로드:
압축 파일(zip) 형식으로 데이터를 패키징 하는 동시에 이를 원격 서버에 업로드 하
6. 명령 실행:
코드의 일부는 시스템 명령어를 실행(exec)하여 추가 작업을 수행하며 특정 실행 파일(python.exe)이나 스크립트를 내려받아 실행하려는 로직도 포함
그리고 북한 이 언제나 하는 가상화폐(암호화폐) 수집을 하는 것도 볼 수가 있습니다.
수집 대상 암호화폐
1.Metamask
nkbihfbeogaeaoehlefnkodbefgpgknn:Metamask의 크롬 확장 프로그램 ID
2.Binance Wallet
fhbohimaelbohpjbbldcngcnapndod:바이낸스 월렛 확장 프로그램 ID
3.Coinbase Wallet
hnfanknocfeofbddgcijnmhnfnkdnaad:Coinbase 월렛 확장 프로그램 ID
4.Brave Wallet
Brave 브라우저와 연동되는 지갑 데이터를 추출
5.Solana 관련
파일 solana/id(.) json에서 Solana 지갑 정보 접근 시도
6.Exodus
Exodus 월렛 경로를 통해 지갑 데이터를 추출 시도
수집 시도 관련 코드
해당 악성코드는 암호화폐 관련 데이터를 수집하기 위해 특정 경로 및 확장 프로그램 데이터를 대상으로 삼고 있음
확장 프로그램 데이터 추출
const _0x3(e)af?0 = [
'nkbihfbeogaeaoehl(e)fnkodbefgpgknn', // Metamask
'fhbohimaelbohpjbbldc(n)gcnapndod', // Binance Wallet
'hnfanknocfeofbddgcijnmh(n)fnkdnaad', // Coinbase Wallet
];확장 프로그램 데이터 경로 접근
let _0x???e8ce = _0x57?ac4['join'](_0x4d?e25, _0x?eaf40[_0x151?95]);
if (_0x2e0?de6(_0x?55e8ce)) {
let _0x46?bc4 = _0x575ac4['join'](_0x5?e8ce, _0x3a9/13);
if (_0x46?bc4.inclu?es('.ldb') || _0x466b?4.includes('.log')) {
// Extract wallet data from .ldb or .log files
}
지갑 관련 파일 경로
/AppData/Local/Google/Chrome/User Data/Default/Local Storage
/Library/Application Support/Google/Chrome/Default/Local Storage
/.config/BraveSoftware/Brave-Browser/Default
/AppData/Roaming/Exodus/exodus.wallet즉 브라우저에 입력된 개인정보 그리고 브라우저 확장 기능에서 가상화폐(암화화폐) 접근을 해서 해당 정보 등을 탈취하는 것이 목적입니다.
2024-12-30 11:51:03 UTC 기준 탐지 하는 보안 업체들은 다음과 같습니다.
AliCloud:Trojan[stealer]:Javascript/NukeSped.E
ALYac:Trojan.GenericKD.75262642
Arcabit:Trojan.Generic.D47C6AB2
Avast:Script:SNH-gen [Trj]
AVG:Script:SNH-gen [Trj]
BitDefender:Trojan.GenericKD.75262642
CTX:Javascript.trojan.nukesped
Emsisoft:Trojan.GenericKD.75262642 (B)
eScan:Trojan.GenericKD.75262642
ESET-NOD32:JS/Spy.NukeSped.E
GData:Script.Trojan.Agent.W6DCB2
Google:Detected
Ikarus:Trojan.JS.Spy
Kaspersky:HEUR:Trojan-PSW.Script.Generic
Kingsoft:Script.Trojan-PSW.Generic.a
Lionic:Trojan.Script.Generic.i!c
Microsoft:Trojan:Script/Wacatac.B!ml
QuickHeal:Cld.script.trojan.1735524461
Rising:Spyware.NukeSped/JS!8.1A0A9 (TOPIS:E0:ZAkcwjpoi2T)
Symantec:Trojan.Gen.2
Tencent:Script.Trojan-QQPass.QQRob.Simw
Trellix (HX):Trojan.GenericKD.75262642
Varist:ABTrojan.XVZF-
일단 특정 집단이 개인이 가지고 있을 가상화폐(암호화폐)를 대상 및 브라우저 정보 탈취이며 그리고 이걸 악용을 한다고 대북관계자, 정치인, 방산업체 등의 브라우저에 저장된 정보를 탈취하게 위해서 악용을 할 수가 있을 것이며 해당 조심 하는 습관을 가져야 하면 브라우저에 저장된 아이디, 비밀번호는 삭제를 하고 비밀번호 관리자 프로그램 등을 사용을 해서 관리하시는 것도 추천을 합니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| TP-Link 공유기 CVE-2024-53375 취약점 간단 분석 (0) | 2025.01.02 |
|---|---|
| 노드 VPN 스마트폰 IP 우회 변경 사용법(3개월 무료,신년 노드 VPN 70% 할인) (2) | 2025.01.01 |
| 북한 APT 리퍼(Reaper)에서 만든 악성코드-동북공정(미국의회조사국(CRS Report).pdf.lnk(2024.4.3) (0) | 2025.01.01 |
| 윈도우 11 KB5048685 업데이트로 인해 와이 파이 및 시작 메뉴 작동이 중지됨 (0) | 2024.12.27 |
| Kimsuky(김수키)에서 만든 자유 아시아 방송으로 위장 해서 특정 북한 인권운동가 노린 악성코드-log_processlist.ps1(2024.12.02) (0) | 2024.12.26 |
| 다시 돌아온 LockBit 4.0 랜섬웨어 간단 분석 (0) | 2024.12.25 |
| 북한 김수키(Kimsuky)에서 만든 악성코드-1.txt(2024.12.14) (0) | 2024.12.24 |
| 북한 해킹단체 김수키(Kimsuky)에서 만든 금융거래확인서로 위장한 악성코드-confirmation.chm(2024.12.10) (0) | 2024.12.20 |
