2024-10-07 04:05 (월)
북한 해커들, 링크드인 구인 광고로 위장해 신종 코버트캐치 악성코드 유포중
상태바
북한 해커들, 링크드인 구인 광고로 위장해 신종 코버트캐치 악성코드 유포중
  • 길민권 기자
  • 승인 2024.09.09 20:58
이 기사를 공유합니다

“북한의 웹3 및 암호화폐 분야 타겟으로 한 광범위한 사이버 공격 전략의 일환”

북한 해커들이 링크드인(LinkedIn)을 통해 개발자들을 대상으로 새로운 악성코드인 ‘COVERTCATCH’를 배포하고 있는 사실이 드러났다. 이 해커들은 구인 광고로 가장해 개발자들을 공격하고 있으며, 이 공격은 구글의 자회사인 사이버 보안 업체 맨디언트(Mandiant)의 최신 보고서에 의해 밝혀졌다.

이 공격은 링크드인을 통해 ‘채용 담당자’가 피해자에게 접근하는 것으로 시작된다. 대화를 나눈 후 공격자는 피해자에게 파이썬 코딩 테스트로 위장한 ZIP 파일을 보내는데, 이 파일을 실행하면 피해자의 맥OS 시스템에 COVERTCATCH 악성코드가 설치된다.

COVERTCATCH는 다단계 공격의 첫 번째 단계로, 피해자가 ZIP 파일을 다운로드하고 실행하면 악성코드가 시스템에 침투한다. 이 악성코드는 설치된 후 즉시 2차 페이로드를 다운로드해 시스템에 영구적으로 머물도록 설정한다. 이 과정에서 맥OS의 기본 시스템 기능인 런치 에이전트와 런치 데몬을 이용해 악성코드가 시스템이 시작될 때마다 자동으로 실행되도록 만든다.

맨디언트 연구원 로버트 월러스, 블라스 코주스너, 조셉 돕슨에 따르면, 이 공격의 목적은 감염된 장치에 장기적으로 접근하는 것이다. 일단 시스템에 침투하면, 공격자는 민감한 정보를 수집하고 로그인 자격 증명을 탈취하거나 내부 탐색을 진행할 수 있다. 이 방식은 이전에 북한 해커 그룹이 수행했던 '드림잡(Operation Dream Job)'과 '전염 인터뷰(Contagious Interview)'에서 사용된 기법과 유사하다. 이들 역시 구인 광고를 이용해 피해자에게 악성코드를 심는 수법을 사용했다.

북한 해커들이 링크드인을 이용한 구인 사기를 활용하는 것은 웹3 및 암호화폐 분야를 타겟으로 한 더 광범위한 사이버 공격 전략의 일환이다. 웹3 기업, 즉 블록체인 기술을 기반으로 운영되는 회사들은 암호화폐 거래와 관련이 많아 해커들에게 매력적인 목표가 되고 있다.

이와 같은 소셜 엔지니어링 기법 외에도, 북한 해커들은 소프트웨어 공급망 공격에도 관여한 바 있다. 과거 3CX와 점프클라우드(JumpCloud)와 같은 회사들이 이 공격에 노출된 바 있는데, 해커들은 이들 회사의 소프트웨어 배포 과정을 침투하여 악성코드를 대규모로 유포했다. 감염된 시스템에 침투한 후, 해커들은 암호 관리 프로그램에 접근해 자격 증명을 탈취하고, 클라우드 환경으로 이동해 암호화폐 지갑의 키를 빼내 자금을 탈취하는 방식이다.

이 공격에는 RustBucket과 KANDYKORN과 같은 악성코드가 사용되었으며, 이 역시 소셜 엔지니어링을 통해 배포되었다. RustBucket은 러스트(Rust) 언어로 작성된 백도어 악성코드로, 파일 실행, 시스템 정보 수집, 지속적인 접속 유지 기능을 가지고 있다. 이 악성코드는 시스템 업데이트로 위장하여 탐지를 피하며, COVERTCATCH도 유사한 방식으로 작동하는 것으로 보인다.

미국 연방수사국(FBI)은 최근 북한의 암호화폐 산업 공격이 급증하고 있다며 경고를 발령했다. 이들은 매우 정교한 소셜 엔지니어링 캠페인을 통해 피해자를 유인하고 있으며, 링크드인과 같은 전문 네트워크에서 채용 담당자나 피해자의 지인처럼 행동해 신뢰를 얻는다.

FBI는 이러한 해커들이 피해자의 개인정보, 직업적 관계, 특정 상황 등을 언급하며 신뢰를 쌓는 수법을 사용한다고 지적했다. 공격자는 신뢰를 쌓기 위해 상당한 시간을 들여 피해자와 지속적인 대화를 이어가며, 충분히 신뢰를 얻으면 악성코드를 배포한다는 것이다.

맨디언트와 다른 사이버 보안 전문가들은 개발자, 특히 암호화폐 및 웹3 분야에 종사하는 사람들이 링크드인에서 채용 담당자와 대화할 때 주의를 기울여야 한다고 강조했다. 이들은 구인 제안의 진위를 확인하기 위해 반드시 회사의 공식 채널을 통해 연락을 취할 것을 권장했다.

또한, 예상치 못한 파일 첨부물, 특히 코딩 테스트나 직무 관련 자료로 위장된 파일에 대한 경계를 강화해야 한다고 덧붙였다. 맨디언트의 로버트 월러스는 “소셜 엔지니어링 공격은 점점 더 개인화되고 정교해지고 있다”며 “심지어 매우 전문적으로 보이는 접근이라 할지라도 그 출처를 검증하는 것이 중요하다”고 말했다.

기업들에게는 이상 파일 활동이나 시스템 변경을 감지할 수 있는 위협 탐지 도구에 대한 투자를 늘리고, 직원들에게 피싱 및 소셜 엔지니어링 공격을 인식하는 교육을 강화할 것을 권고했다.

전문가들은 채용 담당자와의 소통 시 링크드인 메시지나 이메일만 의존하지 않고, 회사에서 승인한 비디오 회의 도구를 통해 면접을 진행하는 것이 더 안전하다고 조언했다. 또한 외부 코딩 테스트를 진행할 때는 가상 환경이나 샌드박스를 이용해 시스템을 직접적으로 감염시키지 않도록 해야 한다고 밝혔다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★