피드로 돌아가기
The RegisterSecurity
원문 읽기
250개 이상의 가짜 채용 제안을 통한 개발자 맞춤형 C2 백도어 침투 및 자산 탈취
Norks blast 250+ fake job offers to developers over 6 weeks to try and snarf creds and crypto
AI 요약
Context
소셜 미디어 기반의 개별 인터뷰 유도 방식에서 대규모 이메일 피싱으로 공격 벡터를 전환한 UNK_DeadDrop 캠페인 분석. 개발자의 작업 환경인 IDE와 오픈소스 생태계를 악용하여 신뢰 기반의 코드 실행을 유도하는 고도화된 사회공학적 기법 적용.
Technical Solution
- GitHub Repository를 통한 악성 스크립트 배포 및 VS Code/Cursor IDE의 자동 실행 태스크를 이용한 초기 Loader 트리거
- 플랫폼별 최적화된 Payload 실행을 위해 Linux/macOS는 Go 기반 Native Binary를, Windows는 Electron 프로세스 내 Node.js 파이프라인을 활용한 하이브리드 구조 설계
- VSIX 확장 프로그램을 통한 지속성(Persistence) 확보 및 Google 서비스 위장으로 사용자 의심 회피
- Overlord C2 프레임워크 기반의 커스텀 모듈(browserlogin, companywallet, cleanup)을 통한 브라우저 자격 증명 및 Crypto-wallet 데이터 정밀 추출
- macOS의 Mach-O binary와 Linux의 Zenity 도구를 활용한 가짜 시스템 다이얼로그 구현으로 사용자 Root 권한 획득 시도
- Windows 환경의 App-Bound Encryption 우회를 위해 COM Elevation Moniker 및 5단계 Cascade Method 기반의 DB 접근 로직 적용
실천 포인트
1. 신뢰할 수 없는 외부 Repository 클론 후 IDE 자동 실행 태스크(.vscode/tasks.json 등) 설정 확인
2. 출처가 불분명한 VSIX 확장 프로그램 설치 제한 및 공식 마켓플레이스 외 설치 경로 차단
3. IDE 및 개발 도구의 실행 권한을 Root/Administrator가 아닌 일반 사용자 권한으로 제한
4. Crypto-wallet 및 민감 자격 증명의 하드웨어 기반 저장소(HSM, Hardware Wallet) 사용 강제