본문 바로가기
Analysis

79. Lazarus's characteristic of using C2

p3ngdump 2024. 8. 12. 20:30

얼마 전, securonix 社에서 아래와 같은 분석 글을 게시했다.

https://www.securonix.com/blog/research-update-threat-actors-behind-the-devpopper-campaign-have-retooled-and-are-continuing-to-target-software-developers-via-social-engineering/

 

Research Update: Threat Actors Behind the DEV#POPPER Campaign Have Retooled and are Continuing to Target Software Developers via

Threat actors have been known to exploit large-scale IT operational issues. Because of this, we’ve witnessed a large uptick in eCrime-related scam operations, phishing attacks, and malware being leveraged in the wake of the CrowdStrike induced outage.

www.securonix.com

 

이 글에서 식별된 C2 서버 중 하나가 이전의 이벤트와 연관되어 있는 것으로 나타났다.

이전 이벤트와의 연관

 

연관되어 있는 이벤트는 4월 24일 Censys에서 포착되었던 Lazarus 그룹의 C2 정보 등 공격 인프라에 대한 정보들이다.

연관된 이벤트

 

이 점으로 미루어보면, Lazarus 그룹은 공격에 사용하는 C2 서버를 미리 만들어두고 한두달 정도 운영하지 않는 형태로 대기 시키는 것으로 보인다. 이후 공격에 사용할 타이밍이 다가오면 해당 C2 서버를 사용하는 형태로 공격하는 것으로 보여진다. 이전에도 그랬듯, 공격에 사용할 인프라들을 미리 확보하는 성향이 비춰진다.

반응형

'Analysis' 카테고리의 다른 글

81. North Korea's Lilith RAT Correlation  (0) 2024.08.25
80. Kimsuky's Skidibi Boilet Master.msc  (4) 2024.08.19
78. CVE-2017-0199 Correlation  (0) 2024.08.02
77. Kimsuky's TRANSLATEXT  (0) 2024.07.30
76. Lazarus's attack using pypi  (0) 2024.07.13

'Analysis' Related Articles

티스토리툴바