[하루한줄] 일본을 타깃으로 한 라자루스 멀웨어 VSingle, ValeforBeta

URL

Lazarus Attack Activities Targeting Japan (VSingle/ValeforBeta)

Target

Japanese orgainsations

Explain

일본을 타깃으로 라자루스가 사용한 멀웨어 VSingle과 ValeforBeta에 대한 분석 보고서가 공개되었습니다.

VSingle은 원격 네트워크에서 임의 코드 실행, 플러그인 다운로드 및 실행을 하는 HTTP 봇입니다. 해당 멀웨어는 설치되면 Explorer를 실행하고 DLL injection을 통해 메인 코드를 실행합니다. VSingle은 HTTP GET request를 통해 C2 서버와 통신합니다. request는 base64로 인코딩 되어있으며, IP 주소, Windows 버전 등을 포함합니다. response를 통해 서버에서 명령어가 포함된 AES 암호화 데이터를 다운로드 받습니다. VSingle이 수행할 수 있는 명령어는 다음과 같습니다.

파일 업로드
communication interval 설정
임의 명령 실행
플러그인 다운로드/실행
업데이트
멀웨어 정보 전송
uninstall
다운로드 파일

VSingle은 4 가지 유형의 플러그인(Windows PE 파일, VBS 파일, BAT 파일, 쉘 코드)을 실행합니다. 플러그인은 %TEMP% 폴더에 저장된 후 쉘 코드를 제외한 3개의 플러그인을 실행합니다.

ValeforBeta는 Delphi로 작성된 HTTP 봇으로 원격 네트워크에서 임의 코드 실행, 파일 업로드, 다운로드 기능을 가지고 있습니다. INTERNET_OPEN_TYPE_DIRECT, INTERNET_OPEN_TYPE_PRECONFIG, INTERNET_OPEN_TYPE_PROXY의 access type을 가지고 있으며 POST request를 통해 C2 서버와 통신합니다. POST request에는 데이터가 포함되어 있지 않고 쿠키 헤더의 JSESSIONID= 뒤에 감염된 호스트의 정보가 base64 인코딩 되어 전송됩니다.

1day1line

malware idioth lazarus bot

idioth

본 글은 CC BY-SA 4.0 라이선스로 배포됩니다. 공유 또는 변경 시 반드시 출처를 남겨주시기 바랍니다.

[하루한줄] CA certificate check bypass & NULL pointer deref in OpenSSL Previous

[Research] 버그헌팅 튜토리얼 Part 4 Next