Lazarus의 Contagious Interview 캠페인 변종 분석
Contents
Lazarus의 Contagious Interview 캠페인 변종 분석
엔키화이트햇
2025. 1. 20.
Content
개요
Contagious Interview 변종
공격 과정
상세분석 1. Send phishing URL
상세분석 2. Windows
상세분석 3. MacOS
상세분석 4. Command and control
마치며
IOC
개요
북한의 해킹그룹 Lazarus의 Contagious Interview 캠페인을 엔키에서 지속적으로 추적하였다. 해당 캠페인은 23년부터 지속적으로 활동하였으며, 구직자 대상의 합법적인 직업 인터뷰를 가장하여 악성코드를 배포하며 최종적으로 암호화폐를 탈취를 목적으로한다.
하지만, 최근 추적 결과 24년 12월부터 Contagious Interview 캠페인의 변종을 통해 추가적인 악성코드들이 배포되는 정황을 식별하였다. 본 글에서는 해당 피싱 사이트를 통해 악성코드가 배포되고 실행되는 전체 공격 과정을 분석한다.
Contagious Interview 변종
기존 Contagious Interview 캠페인은 구직자를 대상으로 직업 인터뷰를 진행하며 코딩 능력 테스트 등을 이유로 악성코드가 포함된 패키지를 실행하도록 유도하여 초기 침투를 진행하였다. 반면 변종 캠페인에서는 구직자를 대상으로 직업 인터뷰를 진행한다는 점은 같지만 비디오 인터뷰 사이트에서 “카메라에 접근할 수 없다”는 알림과 함께 악성코드를 다운로드하는 스크립트를 실행하도록 유도하는 방식으로 변경되었다.
추가적으로 초기 침투 과정 뿐 아니라 공격에 사용된 악성코드에서도 많은 변화가 나타났다. 기존의 javascript로 작성된 다운로더는 암호화폐 지갑 정보를 탈취하는 기능이 삭제되며 sh파일 혹은 vbs파일로 대체되었다. …
엔키화이트햇
2025. 1. 20.
Content
개요
Contagious Interview 변종
공격 과정
상세분석 1. Send phishing URL
상세분석 2. Windows
상세분석 3. MacOS
상세분석 4. Command and control
마치며
IOC
개요
북한의 해킹그룹 Lazarus의 Contagious Interview 캠페인을 엔키에서 지속적으로 추적하였다. 해당 캠페인은 23년부터 지속적으로 활동하였으며, 구직자 대상의 합법적인 직업 인터뷰를 가장하여 악성코드를 배포하며 최종적으로 암호화폐를 탈취를 목적으로한다.
하지만, 최근 추적 결과 24년 12월부터 Contagious Interview 캠페인의 변종을 통해 추가적인 악성코드들이 배포되는 정황을 식별하였다. 본 글에서는 해당 피싱 사이트를 통해 악성코드가 배포되고 실행되는 전체 공격 과정을 분석한다.
Contagious Interview 변종
기존 Contagious Interview 캠페인은 구직자를 대상으로 직업 인터뷰를 진행하며 코딩 능력 테스트 등을 이유로 악성코드가 포함된 패키지를 실행하도록 유도하여 초기 침투를 진행하였다. 반면 변종 캠페인에서는 구직자를 대상으로 직업 인터뷰를 진행한다는 점은 같지만 비디오 인터뷰 사이트에서 “카메라에 접근할 수 없다”는 알림과 함께 악성코드를 다운로드하는 스크립트를 실행하도록 유도하는 방식으로 변경되었다.
추가적으로 초기 침투 과정 뿐 아니라 공격에 사용된 악성코드에서도 많은 변화가 나타났다. 기존의 javascript로 작성된 다운로더는 암호화폐 지갑 정보를 탈취하는 기능이 삭제되며 sh파일 혹은 vbs파일로 대체되었다. …
IoC
https://api.camera-drive.org/nvidia-ka.update
https://api.camera-drive.org/ffmpeg-ka.sh
https://api.camera-drive.org/VCam1.update
http://digitpotalent.com
https://api.jz-aws.info/public/images/
http://216.74.123.191:8080
https://api.camera-drive.org/nvidiawin.update
https://api.camera-drive.org/VCam2.update
http://digitptalent.com
216.74.123.191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://api.camera-drive.org/ffmpeg-ka.sh
https://api.camera-drive.org/VCam1.update
http://digitpotalent.com
https://api.jz-aws.info/public/images/
http://216.74.123.191:8080
https://api.camera-drive.org/nvidiawin.update
https://api.camera-drive.org/VCam2.update
http://digitptalent.com
216.74.123.191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