Silent Push Pivots into New Lazarus Group Infrastructure, Acquires Sensitive Intel Related to $1.4B ByBit Hack and Past Attacks
Silent Push pivoted into new Lazarus Group infrastructure, acquiring sensitive intel related to $1.4B ByBit hack and past attacks.
www.silentpush.com
- Lazarus 그룹의 새로운 인프라 발견
- Silent Push 분석팀이 Lazarus APT 그룹의 인프라를 확보하여 해킹 캠페인 조사 진행
- Lazarus 그룹이 ByBit 해킹(14억 달러 규모) 직전에
bybit-assessment[.]com도메인을 등록한 사실 발견 - 해당 도메인은 과거 Lazarus 공격에서 사용된 이메일
trevorgreer9312@gmail[.]com과 연결됨 - 로그에서 "Lazaro"라는 이름이 발견되어 Lazarus 그룹과의 연관성 시사
- Lazarus 그룹의 VPN 활용 및 테스트 패턴
- 분석 결과 Astrill VPN IP 주소 27개가 Lazarus의 테스트 환경에서 사용됨
- Lazarus 그룹은 공격 전 인프라 테스트를 거치며 자격 증명 탈취 및 데이터 전송 방식 최적화
- 2024년 12월 7일 첫 테스트 기록 확인, 주요 IP 및 서버 식별됨
- 가짜 취업 인터뷰 통한 악성코드 배포 캠페인
- Lazarus 그룹이 LinkedIn을 활용하여 가짜 취업 인터뷰를 진행, 피해자에게 악성코드 배포
api.nvidia-release[.]org도메인과 연계된 맬웨어 발견- MacOS 타겟으로 Bash 스크립트 (
.sh파일) 실행 유도 Blockchainjobhub[.]com과 같은 악성 도메인을 통해 인터뷰 요청 후 보안 설정 업데이트를 빙자하여 감염 유도
- 주요 Lazarus 그룹 관련 도메인 및 인프라
- 악성 도메인 목록
bybit-assessment[.]com,blockchainjobhub[.]com,nvidia-release[.]org,gethirednow[.]org,quickhire360[.]com등
- Lazarus 관련 Astrill VPN IP 목록
104.223.97[.]2,107.172.242[.]4,199.115.99[.]34,38.170.181[.]10,91.239.130[.]102등
- 악성 도메인 목록
- 보안 권고
- 네트워크 차단: Lazarus APT 관련 도메인 및 IP 차단 적용
- 가짜 채용 인터뷰 주의: LinkedIn 및 이메일 기반 피싱 경고 강화 및 기업 대상 보안 교육
- VPN 및 원격 접속 통제: Astrill VPN과 관련된 의심스러운 연결 모니터링
- 위협 인텔리전스 활용: 실시간 Indicators of Future Attacks (IOFA) 정보 공유 및 보안 솔루션 적용
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 크리덴셜 스터핑 공격 증가, 기업 보안 위협과 과징금 부담 확대 (0) | 2025.03.17 |
|---|---|
| NIA, 자문위원 개인정보 유출, 보안사고 반복 발생 (0) | 2025.03.17 |
| Njrat 캠페인, Microsoft Dev Tunnels 악용하여 C2 서버 연결 (0) | 2025.03.15 |
| Microsoft Defender, 머신러닝 활용하여 악성 명령어 실행 차단 (1) | 2025.03.15 |
| VS Code 확장 프로그램, 900만 건 설치 후 악성 코드 포함으로 제거됨 (0) | 2025.03.15 |