2025년 10월 17일, 구글 GTIG(Google Threat Intelligence Group)에서 아래 보고서를 공개했다. 북한 공격자들이 이더리움 스마트 컨트랙트 조회 기능을 통해 악성코드를 유포 했다는 것이 주요 내용이다.
https://cloud.google.com/blog/topics/threat-intelligence/dprk-adopts-etherhiding?hl=en
DPRK Adopts EtherHiding: Nation-State Malware Hiding on Blockchains | Google Cloud Blog
North Korea threat actor UNC5342 is leveraging the EtherHiding technique in espionage and financially motivated operations.
cloud.google.com
이와 관련하여 구글 측이 OTX AlienVault에 관련 IoC 등을 공유했는데, 개인 MISP에 연동하여보니 재미있는 결과가 나왔다. Lumma 스틸러의 C2로 사용된 도메인들이나 ClearFake 악성코드와 관련된 도메인, 가짜 github 저장소 등을 이용한 악성코드 유포 캠페인과 관련이 있는 것으로 나타난 것이다.
위 연관관계를 통해, 북한 공격자들이 사용한 악성코드의 종류나 유포 기법 등을 대략적으로 파악할 수 있다. Lumma 스틸러, Sneaky2FA, AI 를 활용한 가짜 github 저장소, ClearFake 등을 EtherHiding 캠페인에 함께 사용한 것으로 보여진다.
즉, 피해자 환경에 침투하기 위한 여러가지 스틸러나 AI 기술까지도 활용하고 있는 정황을 파악할 수 있다. 관련 분석 글들은 아래와 같다.
https://www.trendmicro.com/ko_kr/research/25/c/ai-assisted-fake-github-repositories.html
AI Assisted Fake GitHub Repositories Fuel SmartLoader and LummaStealer Distribution
In this blog entry, we uncovered a campaign that uses fake GitHub repositories to distribute SmartLoader, which is then used to deliver Lumma Stealer and other malicious payloads. The campaign leverages GitHub’s trusted reputation to evade detection, usi
www.trendmicro.com
ClearFake’s New Widespread Variant: Increased Web3 Exploitation for Malware Delivery
ClearFake spreads malware via compromised websites, using fake CAPTCHAs, JavaScript injections, and drive-by downloads.
blog.sekoia.io
https://www.esentire.com/blog/your-mfa-is-no-match-for-sneaky2fa
Your MFA Is No Match for Sneaky2FA
Learn more about the Sneaky2FA Phishing-as-a-Service kit and get security recommendations from our Threat Response Unit (TRU) to protect your business…
www.esentire.com
https://www.domaintools.com/resources/blog/tracking-lummac2-infrastructure-with-cats/
Tracking LummaC2 Infrastructure with Cats - DomainTools | Start Here. Know Now.
DOJ and Microsoft dismantle LummaC2 infostealer via domain takedowns. Analysis reveals TTPs, IOC patterns, and active “About Cats” infrastructure
www.domaintools.com
'Analysis' 카테고리의 다른 글
| 117. Kimsuky's 국세청 위장 피싱 메일 (0) | 2025.11.18 |
|---|---|
| 116. MISP 2.4 --> MISP 2.5 (0) | 2025.11.10 |
| 114. Kimsuky's NAVER 사칭 email (0) | 2025.10.01 |
| 113. NK's(Kimsuky, APT37) 한국디지털헬스케어진흥재단 소개자료.pdf.lnk (0) | 2025.09.18 |
| 112. ClickFix in wild (0) | 2025.09.09 |
