가짜 면접과 멀웨어로 북한 해커의 표적이 된 인도 내 암호화폐 전문가들

북한 해커, 멀웨어로 인도 암호화폐 구직자를 노리다

잘 알려지지 않은 북한 해킹 그룹인 '유명 촐리마'가 인도의 암호화폐 및 블록체인 분야 구직자들을 공격적으로 노리고 있습니다.

악명 높은 라자루스 그룹과 달리, 이 조직은 조잡하지만 효과적인 피싱 전술을 사용하여 지원자를 속여 컴퓨터에 멀웨어를 설치하도록 유도합니다.

2024년 중반부터 시작된 이 캠페인은 가짜 구인 광고와 사기성 기술 테스트에 초점을 맞춰 피해자를 PylangGhost라는 악성 소프트웨어에 감염시키도록 설계되었습니다.

가짜 구인 광고가 멀웨어 감염으로 이어지는 방법

유명한 촐리마는 코인베이스, 유니스왑, 로빈후드 등 잘 알려진 암호화폐 회사를 사칭한 위조 채용 웹사이트를 만들어 운영합니다.

가짜 구인 광고는 블록체인 및 암호화폐 기술 경험이 있는 전문가가 지원하도록 유도합니다.

지원자가 세부 정보를 입력하고 예상되는 화상 면접에 참여하면 비디오 드라이버를 설치하는 것처럼 가장하여 명령을 복사하여 붙여넣으라는 메시지가 표시됩니다.

해커가 배포한 문제는 Robinhood의 채용 기회로 거짓으로 제시된 불법적인 비즈니스 개발 관리자 직책에 대한 것이었습니다. (출처:Cisco Talos )

대신 이러한 명령은 해커에게 피해자의 기기에 대한 전체 액세스 권한을 부여하는 멀웨어를 다운로드합니다.

이 멀웨어는 로그인 자격 증명, 브라우저 데이터, MetaMask 및 Phantom과 같은 암호화폐 지갑 확장 프로그램을 포함한 민감한 정보를 표적으로 삼습니다.

Windows 사용자의 경우, 이 사이트에서는 비디오 드라이버 설치로 위장한 악성 명령을 복사, 붙여넣기 및 실행하는 지침을 제공하며, macOS용 지침도 별도로 제공합니다. (출처:Cisco Talos )

시스코 탈로스 연구진은 가짜 오류 메시지를 수정하도록 유도하여 궁극적으로 유해한 코드를 실행함으로써 인간의 문제 해결 본능을 악용하는 'ClickFix'라는 방법을 사용했다고 강조했습니다.

유명한 촐리마는 라자루스 그룹과 어떻게 다른가요?

두 그룹 모두 북한에서 시작하여 암호화폐 공간에서 활동하지만, 유명 촐리마의 접근 방식은 눈에 띄게 덜 정교합니다.

시스코 탈로스는 가짜 구인 광고에 진짜 브랜드가 없고 관련 없는 질문이 포함되어 있어 의심을 불러일으킨다고 지적했습니다.

가짜 구인 광고의 예시. (출처:Cisco Talos )

반면, 라자루스 그룹은 대규모 암호화폐 절도 등 고도로 조직화된 지능형 사이버 공격으로 잘 알려져 있습니다.

최근 비트멕스는 라자루스가 초기 보안을 뚫는 저숙련 그룹과 절도를 실행하는 고숙련 팀의 2단계 팀 시스템을 사용한다고 밝혔습니다.

북한의 사이버 작전은 여러 그룹에서 비슷한 구조를 따르고 있을 가능성이 있지만, 유명 촐리마의 단순한 전술은 초기 단계 또는 기회주의적 노력을 시사합니다.

이번 공격은 더 큰 규모의 북한 암호화폐 계획의 서막일까요?

유명 촐리마 캠페인의 진정한 의도는 아직 밝혀지지 않았습니다.

전문가들은 이러한 공격이 소규모 절도일 수도 있지만, 합법적인 구직자를 더 잘 모방하거나 암호화폐 회사에 대한 지속적인 접근 권한을 얻기 위한 정찰의 목적일 수도 있다고 경고합니다.

2024년 말, 북한 해커가 계약업체의 보고서로 위장한 멀웨어를 통해 직원들의 기기를 감염시켜 5천만 달러의 손실을 입힌 Radiant Capital은 이러한 우려를 뒷받침하는 과거 사건을 겪은 바 있습니다.

북한 해커들은 오랫동안 암호화폐 전문가, 특히 업계에서 널리 사용되는 애플 기기를 사용하는 사람들을 표적으로 삼아왔습니다.

정부는 해외에 고용된 시민과 이러한 침입을 통한 암호화폐 절도를 통해 재정적 이익을 얻는 것으로 알려졌습니다.

암호화폐 구직자는 자신을 보호하기 위해 무엇을 해야 할까요?

현재 진행 중인 이 캠페인은 빠르게 성장하는 암호화폐 업계에서 구직자들이 직면한 위험을 강조합니다.

전문가들은 채용 포털을 주의 깊게 살펴보고, 익숙하지 않은 명령줄을 실행하지 않으며, 다중 인증 및 엔드포인트 보호와 같은 강력한 보안 조치를 사용할 것을 권장합니다.

PylangGhost와 같은 멀웨어는 암호화폐 지갑과 자격 증명 관리자를 적극적으로 노리기 때문에 브라우저 확장 프로그램을 모니터링하는 것은 매우 중요합니다.

새로운 사이버 위협 시대의 시작일 뿐인가요?

유명 촐리마와 같은 단체의 등장은 북한의 사이버 작전이 라자루스 그룹의 유명 공격 외에도 다양화되고 있다는 신호입니다.

이들의 방법은 초보적인 것처럼 보일 수 있지만, 암호화 전문가에 초점을 맞추고 있다는 점에서 향후 더 정교한 침투 전술로 나아갈 수 있는 길을 열어줄 수 있습니다.

구직자들이 자신도 모르게 블록체인 회사에 백도어를 제공하면서 채용과 스파이 활동의 경계가 위험할 정도로 모호해지고 있습니다.

공격자들은 새로운 취약점을 구축하기 위해 인력을 통해 새로운 취약점을 조사하기 때문에 진화하는 위협은 개인뿐만 아니라 업계 전반의 경계를 요구합니다.