<분석 개요>

작년 6월부터 북한의 해킹 그룹 라자루스(Lazarus)는 PuTTY, KiTTY, TightVNC, Sumatra PDF Reader, muPDF/Subliminal Recording와 같은 오픈소스 소프트웨어들을 수정하여 악성코드를 제작하고 있으며, LinkedIn에서 특정 회사들의 채용담당자로 위장하여 엔지니어들에게 접근하여 악성코드를 유포하였다. 수정된 오픈소스 소프트웨어들은 실행만으로 악성 행위를 하지 않으며, 사용자가 특정 PDF를 열람하거나 수정된 Putty로 특정 서버를 접속을 하는 등 특정 이벤트가 발생해야 악성 행위를 시작하는 공격 방식을 사용하고 있다. 이는 SandBox을 사용한 자동 분석을 회피하기 위함으로 보인다.

<악성코드 순서도>