Manuel Statik Analiz — Lazarus Group APT (Kuzey Kore DPRK) | Tehdit: KRITIK APT
Dosya Kimliği
| SHA256 | 6b33d20196267b0d553030b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya | remotepe_2023-10-17... (Ekim 2023 örnekleme) |
| Boyut | 553.030 byte |
| String Sayisi | 3.089 |
Google Drive Taklidi C2
Sofistike Kamuflaj: Lazarus, "livedrivefiles.com" domainiyle meşru Google Drive gibi görünen bir veri sızdırma C2 altyapısı kullanıyor!
https://livedrivefiles.com/uploads -- "livedrive" = Google Drive + iCloud Drive karışımı taklit -- "/uploads" endpoint = çalınan verilerin yükleme noktası -- Kurumsal güvenlik araçları "drive" içeren domainlere güvenebilir -- İkinci domain: odata.me (.me TLD)
NT API Anti-Debug Zinciri
NtQuerySystemInformation -- Sistem bilgisi sorgulama (sandbox tespiti) NtQueryInformationProcess -- Proses bilgisi (debugger kontrolü) NtSetInformationFile -- Dosya bilgisi manipülasyonu NtCreateUserProcess -- Proses oluşturma (NT native API) NtCreateFile -- Dosya/cihaz açma (x5 referans) -- NT native API kullanımı: Win32 API hook'larını atlatıyor
Lazarus Group Hakkında
Lazarus Group (Hidden Cobra, ZINC, APT38), Kuzey Kore'nin Genel Keşif Bürosu (RGB) kontrolündeki devlet destekli APT grubudur. WannaCry (2017), Sony Pictures saldırısı (2014), Bangladesh Merkez Bankası soygunu ($81M, 2016) ve kripto para hırsızlıkları ile bilinir. SWIFT sistemini hedefleyen saldırılarda uzmanlaşmıştır.
IOC
| SHA256 | 6b33d20196267b0d553030b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | https://livedrivefiles.com/uploads |
| C2 | odata.me |
| Atıf | Lazarus Group / DPRK / Hidden Cobra |
Lazarus — Malware Profile
Lazarus Group DPRK NK APT. Hidden Cobra. WannaCry 2017. SWIFT banker. livedrivefiles.com Drive taklit C2.
Malware Type
Backdoor
Programming Language
C/C++
C2 Protocol
HTTPS+P2P
Target Systems
Küresel Finans/Crypto/Devlet
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (2 indicators)
IOC — Lazarus
# DOMAIN
livedrivefiles.com
# DOMAIN
odata.me
| Type | Value | Note |
|---|---|---|
| domain | livedrivefiles.com | |
| domain | odata.me |
C2 Servers (2 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| odata.me | domain | 443 | HTTPS | active | — |
| livedrivefiles.com | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.