{
	"id": "db0a8212-c2ad-4b2c-abec-9aee547efefb",
	"created_at": "2026-04-06T00:09:37.227819Z",
	"updated_at": "2026-04-10T03:21:38.849478Z",
	"deleted_at": null,
	"sha1_hash": "3dfb9b932b6f0e5df873c8843bc8eb4107beceaf",
	"title": "Analysis of Lazarus malware abusing Non-ActiveX Module in South Korea",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 660285,
	"plain_text": "Analysis of Lazarus malware abusing Non-ActiveX Module in\r\nSouth Korea\r\nBy S2W\r\nPublished: 2021-07-09 · Archived: 2026-04-05 18:42:42 UTC\r\nAuthor : Sojun Ryu (\r\n) @ Talon\r\nExecutive Summary\r\n최근 I사의 C프로그램 설치 여부를 확인하는 악성코드 샘플이 탐지됨\r\n- 악성코드 제작 일시 : 2021–02–10 05:19:21 (UTC)\r\n- 단, 악성코드 제작 일시는 공격자에 의해 변경이 쉽게 가능함\r\n악성행위 수행 전 C프로그램 관련 파일 존재 여부를 확인한 뒤, 존재하지 않을 경우 추가 행위를 수\r\n행하지 않음\r\n최종 행위로는 추가 악성코드를 국내 유포지로부터 다운로드 받고 실행\r\n- 현재 추가 악성코드는 다운로드되지 않음\r\nPress enter or click to view image in full size\r\nhttps://medium.com/s2wlab/analysis-of-lazarus-malware-abusing-non-activex-module-in-south-korea-7d52b9539c12\r\nPage 1 of 6\n\nFile Information\r\nMD5 : b3a8c88297daecdb9b0ac54a3c107797\r\nSHA-1 : 46660f562fe01b5df0e1ac03dd44b4cc8d2fa5f5\r\nSHA-256 : a881c9f40c1a5be3919cafb2ebe2bb5b19e29f0f7b28186ee1f4b554d692e776\r\nCreation Time : 2021–02–10 05:19:21\r\nVT First Submission : 2021–07–01 01:52:58\r\nFilename : ComparePlus, ComparePlus.dll, SCSKAppLink.dll\r\nFile type : pedll, x86\r\nSigned file, valid signature\r\nDetailed Analysis\r\n1. 탐지된 샘플은 오픈소스로 공개된 ComparePlus라는 Notepad++ 플러그인의 정상 코드에 악성코드를 다\r\n운로드 받는 기능이 추가 된 형태\r\nCopyright : Copyright © 2019\r\nProduct : ComparePlus (32-bit)\r\nDescription : Compare plugin for Notepad++\r\nOriginal Name : ComparePlus.dll\r\nCompanyName : Pavel Nedev\r\nFile Version : 1.0.0\r\nhttps://medium.com/s2wlab/analysis-of-lazarus-malware-abusing-non-activex-module-in-south-korea-7d52b9539c12\r\nPage 2 of 6\n\n2. 백신 등 보안장비 우회를 위해 악성코드를 정상 인증서로 서명\r\nName : DOCTER USA, INC.\r\nSerial Number : 2B 7C 17 F1 A3 B3 DF BC 4F 8A 48 AF 73 7C 43 2D\r\nValid : 2020/12/07 00:00 ~ 2021/12/07 12:00 (UTC)\r\nDate signed : 2021–07–02 17:25:00 (UTC)\r\nPress enter or click to view image in full size\r\n3. 실행 시 아래 경로를 확인하여 감염기기내 I사 C프로그램설치 여부 확인 후, 해당 경로의 파일들이 존재\r\n하는 경우에만 악성행위 수행\r\nC:\\ProgramData\\SCSKAppLink.dll\r\nC:\\Program Files (x86)\\INITECH\\INISAFE Web EX Client\\INISAFECrossWebEXSvc.exe 또는\r\nC:\\Program Files\\INITECH\\INISAFE Web EX Client\\INISAFECrossWebEXSvc.exe\r\n4. 이후 정상 comp.exe를 실행하여 자기자신을 로드하도록 함\r\nGet S2W’s stories in your inbox\r\nJoin Medium for free to get updates from this writer.\r\nRemember me for faster sign in\r\n프로그램 경로 : C:\\WINDOWS\\system32\\comp.exe\r\nDLL Injection 기법을 이용하여 강제 로드\r\n5. 최종적으로 국내 유포지로부터 추가 악성코드를 다운로드 후 RC5 로 데이터를 decrypt하여 메모리에서\r\n실행\r\n접속 패킷 예시\r\nPOST /html/facilities/facilities_01_06.asp?product_field=racket HTTP 1.0\r\nHost: grandgolf.co.kr:443\r\nhttps://medium.com/s2wlab/analysis-of-lazarus-malware-abusing-non-activex-module-in-south-korea-7d52b9539c12\r\nPage 3 of 6\n\nUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)\r\nChrome/87.0.4280.88 Safari/537.36 Edg/87.0.664.57\r\nAccept: text/*\r\nContent-Type: application/x-www-form-urlencoded\r\nContent-Length: 0\r\n연관성 분석\r\n이번에 발견된 악성코드는 과거 Lazarus가 국내 침해사고에서 사용됐던 악성코드와 유사한 decode 방식을\r\n사용하고 있다.\r\n1. 과거 Lazarus 악성코드와 이번 악성코드 decode 코드 비교\r\nPress enter or click to view image in full size\r\nPress enter or click to view image in full size\r\nhttps://medium.com/s2wlab/analysis-of-lazarus-malware-abusing-non-activex-module-in-south-korea-7d52b9539c12\r\nPage 4 of 6\n\n2. 과거 Lazarus 악성코드와 이번 악성코드 decode 코드 비교 (Python 변환)\r\n과거 Lazarus 악성코드\r\n이번 악성코드\r\nConclusion\r\n해당 샘플이 사용하는 문자열 디코딩 코드에서 과거 라자루스 공격 그룹이 사용한 악성코드와의 유\r\n사점이 확인됨\r\n악성행위 수행 전 I사 C프로그램 관련 파일들을 확인하는 것으로 보아, 해당 소프트웨어를 이용하\r\n여 추가 악성행위를 수행할 것으로 판단됨\r\n이번 샘플 또한 최근 관련 공격 그룹이 지속적으로 사용하고 있는 정상 파일 위장 악성코드를 사용\r\n하였으며, 실제 오픈소스 프로그램을 수정하여 제작하였기 때문에 악성 여부 탐지가 쉽지 않음\r\nAppendix\r\nhttps://medium.com/s2wlab/analysis-of-lazarus-malware-abusing-non-activex-module-in-south-korea-7d52b9539c12\r\nPage 5 of 6\n\nAppendix 1 : IoC\r\n1. SCSKAppLink_dll\r\n- MD5 : b3a8c88297daecdb9b0ac54a3c107797\r\n- SHA256 : a881c9f40c1a5be3919cafb2ebe2bb5b19e29f0f7b28186ee1f4b554d692e776\r\n- Type : x86, dll\r\n2. NppAStyle.dll\r\n- MD5 : 98151ba9f3e0a55bba16c58428b3a178\r\n- SHA256 : 61367c3a1d4c9ccaee568157bc4cf2feb997161ed3395878a448d8a2bf67dfa9\r\n- Type : x64, dll\r\n- 1번 악성코드와 동일한 문자열 테이블 사용\r\n3. 추가 악성코드 다운로드지\r\ngrandgolf[.]co.kr/html/facilities/facilities_01_06.asp?product_field=racket\r\nwww.namchuncheon.co[.]kr/admin/BookAppl/Search_left.asp?product_field=racket\r\nwww.kdone.co[.]kr/Utils/EmailUtil.asp?product_field=racket\r\nAppendix 2 : Dectection yara rule\r\nimport \"pe\"rule Lazarus_door {\r\n meta:\r\n description = \"Lazarus sample disguised as Notepad++ plugin detection rule\"\r\n author = \"S2WLAB TALON hypen\"\r\n date = \"2021-07-02\"\r\n version = \"1.0\" strings:\r\n $decode = {0F B6 45 0C 33 D2 B9 48 00 00 00 F7 F1 8A 0F B8 01 00 00 00 53 84 D2 0F B6 DA 0F 44\r\n uint16(0) == 0x5A4D and 1 of them}rule Lazarus_door_signature {\r\n meta: description = \"Lazarus sample disguised as Notepad++ plugin signature detection rule \"\r\n author = \"S2WLAB TALON hypen\"\r\n date = \"2021-07-02\"\r\n version = \"1.0\" condition :\r\n uint16(0) == 0x5A4D and\r\n for any i in (0 .. pe.number_of_signatures) : (\r\n pe.signatures[i].serial ==\r\n \"2b:7c:17:f1:a3:b3:df:bc:4f:8a:48:af:73:7c:43:2d\"\r\n )}\r\nSource: https://medium.com/s2wlab/analysis-of-lazarus-malware-abusing-non-activex-module-in-south-korea-7d52b9539c12\r\nhttps://medium.com/s2wlab/analysis-of-lazarus-malware-abusing-non-activex-module-in-south-korea-7d52b9539c12\r\nPage 6 of 6",
	"extraction_quality": 1,
	"language": "KO",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://medium.com/s2wlab/analysis-of-lazarus-malware-abusing-non-activex-module-in-south-korea-7d52b9539c12"
	],
	"report_names": [
		"analysis-of-lazarus-malware-abusing-non-activex-module-in-south-korea-7d52b9539c12"
	],
	"threat_actors": [],
	"ts_created_at": 1775434177,
	"ts_updated_at": 1775791298,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/3dfb9b932b6f0e5df873c8843bc8eb4107beceaf.pdf",
		"text": "https://archive.orkl.eu/3dfb9b932b6f0e5df873c8843bc8eb4107beceaf.txt",
		"img": "https://archive.orkl.eu/3dfb9b932b6f0e5df873c8843bc8eb4107beceaf.jpg"
	}
}