항공·방위 산업을 표적으로 한 Lazarus 그룹의 Comebacker 변종 공격
Contents
요약
X에 Lazarus로 분류된 도메인이 보고되어 해당 도메인에 존재하는 악성코드를 확보하였다.
확보한 악성코드를 분석한 결과 Lazarus가 사용하는 Comebacker 악성코드의 신규 변종으로 확인되었다.
C&C 서버 인프라를 분석하는 과정에서 추가적인 C&C 서버 도메인과 Comebacker 악성코드를 확보하여 분석하였다.
1. 개요
X의 ThreatBookLabs 게시글에서 Lazarus로 분류된 도메인이 보고(25.06.19)되었고, 해당 도메인에 존재하는 docx 파일로 위장한 악성코드를 확보해 분석하였다.
분석 결과 해당 악성코드는 Lazarus가 사용하는 Comebacker 악성코드의 신규 변종으로 확인되었으며, C&C 서버 인프라 분석 과정에서 2025년 3월에 유포된 것으로 추정되는 Comebacker 악성코드도 추가 확보할 수 있었다.
본 글에서는 신규 변종인 Comebacker 악성코드에 대한 분석 내용과 공격 변화 과정에 대하여 다룬다.
1.1. Comebacker
Comebacker 악성코드는 2021년 구글 Threat Analysis Group의 글에서 처음 보고된 악성코드로, C&C 서버에서 DLL 파일을 다운받아 실행하는 방식의 다운로더/백도어이다. Microsoft에서 처음 Comebacker로 명명하였으며 현재까지 Lazarus 악성코드로 알려져 있다.
2024년에는 PyPI 패키지에 Comebacker 악성코드가 삽입되어 배포된 것이 확인되었으며, 2021년부터 지속적으로 유포되고 있다.
2. 악성코드 분석
2.1. C&C 서버 오픈 디렉토리
악성코드가 발견된 C&C 서버 주소는 office-theme[.]com이다. dat, tmp, bin 등 여러 확장자 파일이 존재하였지만, dat 혹은 tmp가 확장자인 …
X에 Lazarus로 분류된 도메인이 보고되어 해당 도메인에 존재하는 악성코드를 확보하였다.
확보한 악성코드를 분석한 결과 Lazarus가 사용하는 Comebacker 악성코드의 신규 변종으로 확인되었다.
C&C 서버 인프라를 분석하는 과정에서 추가적인 C&C 서버 도메인과 Comebacker 악성코드를 확보하여 분석하였다.
1. 개요
X의 ThreatBookLabs 게시글에서 Lazarus로 분류된 도메인이 보고(25.06.19)되었고, 해당 도메인에 존재하는 docx 파일로 위장한 악성코드를 확보해 분석하였다.
분석 결과 해당 악성코드는 Lazarus가 사용하는 Comebacker 악성코드의 신규 변종으로 확인되었으며, C&C 서버 인프라 분석 과정에서 2025년 3월에 유포된 것으로 추정되는 Comebacker 악성코드도 추가 확보할 수 있었다.
본 글에서는 신규 변종인 Comebacker 악성코드에 대한 분석 내용과 공격 변화 과정에 대하여 다룬다.
1.1. Comebacker
Comebacker 악성코드는 2021년 구글 Threat Analysis Group의 글에서 처음 보고된 악성코드로, C&C 서버에서 DLL 파일을 다운받아 실행하는 방식의 다운로더/백도어이다. Microsoft에서 처음 Comebacker로 명명하였으며 현재까지 Lazarus 악성코드로 알려져 있다.
2024년에는 PyPI 패키지에 Comebacker 악성코드가 삽입되어 배포된 것이 확인되었으며, 2021년부터 지속적으로 유포되고 있다.
2. 악성코드 분석
2.1. C&C 서버 오픈 디렉토리
악성코드가 발견된 C&C 서버 주소는 office-theme[.]com이다. dat, tmp, bin 등 여러 확장자 파일이 존재하였지만, dat 혹은 tmp가 확장자인 …
IoC
https://hiremployee.com
http://Office-theme.com
https://birancearea.com/adminv2
http://office-theme.com
http://birancearea.com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://Office-theme.com
https://birancearea.com/adminv2
http://office-theme.com
http://birancearea.com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