채용 메일을 위장한 피싱 공격 정황 사례 분석 (BeaverTail, Tropidoor)
Contents
채용 메일을 위장한 피싱 공격 정황 사례 분석 (BeaverTail, Tropidoor)
2024년 11월 29일 Dev.to라는 이름의 개발자 커뮤니티에서 다음과 같이 채용 공고 메일을 위장해 악성코드를 유포하는 사례가 공개되었다. [1] 해당 사례에서 공격자는 프로젝트가 포함된 BitBucket 링크를 전달하였으며 피해자는 프로젝트 내부에 악성코드가 포함된 것을 확인하고 커뮤니티에 공개하였다. 프로젝트 내부에는 “tailwind.config.js”라는 이름으로 존재하는 BeaverTail 악성코드와 함께 “car.dll”이라는 이름의 다운로더 악성코드가 있었다.
Figure 1. 개발자 커뮤니티에서 공개된 공격 사례
현재 링크에서 다운로드는 불가하지만 VirusTotal에서는 “car.dll” 다운로더와 BeaverTail을 포함하는 압축 파일들이 존재하여 해당 파일을 기반으로 분석한 결과 “car.dll”의 실행 로그와 BeaverTail의 실행 정황이 국내에서도 확인되었다. BeaverTail은 해외에서 북한 기반의 공격자들이 사용하는 것으로 알려진 악성코드로서 정보 탈취 및 추가 페이로드를 다운로드하는 기능을 담당한다.
“car.dll” 다운로더는 백도어를 다운로드하는데 윈도우 명령어들을 내부에 구현한 것이 특징이다. 이러한 방식은 과거 ESET 보고서에서 공개한 Lazarus 그룹의 LightlessCan 악성코드와 유사하다.
1. 공격 정황
VirusTotal에서 확보한 프로젝트 파일 내부에는 다음과 같이 다운로더 악성코드인 “car.dll”과 BeaverTail 악성코드이자 다운로더를 실행하는 기능을 담당하는 “tailwind.confg.js” 파일이 존재한다. 참고로 또 다른 압축 파일에는 유사한 …
2024년 11월 29일 Dev.to라는 이름의 개발자 커뮤니티에서 다음과 같이 채용 공고 메일을 위장해 악성코드를 유포하는 사례가 공개되었다. [1] 해당 사례에서 공격자는 프로젝트가 포함된 BitBucket 링크를 전달하였으며 피해자는 프로젝트 내부에 악성코드가 포함된 것을 확인하고 커뮤니티에 공개하였다. 프로젝트 내부에는 “tailwind.config.js”라는 이름으로 존재하는 BeaverTail 악성코드와 함께 “car.dll”이라는 이름의 다운로더 악성코드가 있었다.
Figure 1. 개발자 커뮤니티에서 공개된 공격 사례
현재 링크에서 다운로드는 불가하지만 VirusTotal에서는 “car.dll” 다운로더와 BeaverTail을 포함하는 압축 파일들이 존재하여 해당 파일을 기반으로 분석한 결과 “car.dll”의 실행 로그와 BeaverTail의 실행 정황이 국내에서도 확인되었다. BeaverTail은 해외에서 북한 기반의 공격자들이 사용하는 것으로 알려진 악성코드로서 정보 탈취 및 추가 페이로드를 다운로드하는 기능을 담당한다.
“car.dll” 다운로더는 백도어를 다운로드하는데 윈도우 명령어들을 내부에 구현한 것이 특징이다. 이러한 방식은 과거 ESET 보고서에서 공개한 Lazarus 그룹의 LightlessCan 악성코드와 유사하다.
1. 공격 정황
VirusTotal에서 확보한 프로젝트 파일 내부에는 다음과 같이 다운로더 악성코드인 “car.dll”과 BeaverTail 악성코드이자 다운로더를 실행하는 기능을 담당하는 “tailwind.confg.js” 파일이 존재한다. 참고로 또 다른 압축 파일에는 유사한 …
IoC
http://103.35.190.170/Proxy.php
https://86.104.72.247/proxy/Proxy.php
https://45.8.146.93/proxy/Proxy.php
http://86.104.72.247/Proxy.php
103.35.190.170
86.104.72.247
45.8.146.93
84d25292717671610c936bca7f0626f5
b29ddcc9affdd56a520f23a61b670134
94ef379e332f3a120ab16154a7ee7a00
3aed5502118eb9b8c9f8a779d4b09e11
https://86.104.72.247/proxy/Proxy.php
https://45.8.146.93/proxy/Proxy.php
http://86.104.72.247/Proxy.php
103.35.190.170
86.104.72.247
45.8.146.93
84d25292717671610c936bca7f0626f5
b29ddcc9affdd56a520f23a61b670134
94ef379e332f3a120ab16154a7ee7a00
3aed5502118eb9b8c9f8a779d4b09e11