Manuel Statik Analiz — Lazarus Group APT (Kuzey Kore DPRK) | Tehdit: KRITIK APT

Dosya Kimliği

SHA2566b33d20196267b0d553030b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosyaremotepe_2023-10-17... (Ekim 2023 örnekleme)
Boyut553.030 byte
String Sayisi3.089

Google Drive Taklidi C2

Sofistike Kamuflaj: Lazarus, "livedrivefiles.com" domainiyle meşru Google Drive gibi görünen bir veri sızdırma C2 altyapısı kullanıyor!
https://livedrivefiles.com/uploads
-- "livedrive" = Google Drive + iCloud Drive karışımı taklit
-- "/uploads" endpoint = çalınan verilerin yükleme noktası
-- Kurumsal güvenlik araçları "drive" içeren domainlere güvenebilir
-- İkinci domain: odata.me (.me TLD)

NT API Anti-Debug Zinciri

NtQuerySystemInformation   -- Sistem bilgisi sorgulama (sandbox tespiti)
NtQueryInformationProcess  -- Proses bilgisi (debugger kontrolü)
NtSetInformationFile       -- Dosya bilgisi manipülasyonu
NtCreateUserProcess        -- Proses oluşturma (NT native API)
NtCreateFile               -- Dosya/cihaz açma (x5 referans)
-- NT native API kullanımı: Win32 API hook'larını atlatıyor

Lazarus Group Hakkında

Lazarus Group (Hidden Cobra, ZINC, APT38), Kuzey Kore'nin Genel Keşif Bürosu (RGB) kontrolündeki devlet destekli APT grubudur. WannaCry (2017), Sony Pictures saldırısı (2014), Bangladesh Merkez Bankası soygunu ($81M, 2016) ve kripto para hırsızlıkları ile bilinir. SWIFT sistemini hedefleyen saldırılarda uzmanlaşmıştır.

IOC

SHA2566b33d20196267b0d553030b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2https://livedrivefiles.com/uploads
C2odata.me
AtıfLazarus Group / DPRK / Hidden Cobra

Lazarus — Malware Profili

Lazarus Group DPRK NK APT. Hidden Cobra. WannaCry 2017. SWIFT banker. livedrivefiles.com Drive taklit C2.

Malware Tipi
Backdoor
Programlama Dili
C/C++
C2 Protokolü
HTTPS+P2P
Hedef Sistemler
Küresel Finans/Crypto/Devlet

Yetenekler ve Davranış

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC Listesi (2 gösterge)

IOC — Lazarus
# DOMAIN livedrivefiles.com # DOMAIN odata.me
TürDeğerNot
domain livedrivefiles.com
domain odata.me

C2 Sunucuları (Bu aile için 2 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
odata.me domain 443 HTTPS active —
livedrivefiles.com domain 443 HTTPS inactive —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
lazarusdprknorth-korealivedrivefiles-comdrive-mimic-c2odata-mentcreate-userprocessapt-lazarus