인도 암호화폐 후보를 속이는 북한 해커들

암호화폐 관련 해킹 활동이 새롭고 우려스러운 수준에 도달했습니다.

시스코 탈로스의 보고서에 따르면, '유명 촐리마'로 알려진 북한 사이버 범죄 집단이 작전을 강화한 것으로 보입니다. 유명 촐리마는 현재 완전히 새로운 공격 방법을 사용하여 인도의 암호화폐 분야 구직자들을 집중적으로 공격하고 있습니다.

라자루스 그룹처럼 노골적인 대규모 공격을 수행하는 대신, 유명 촐리마는 암호화폐 분야 기업에 접근하기 위한 기발한 전략을 고안해냈습니다.시스코 탈로스는 "북한과 연계된 위협 행위자인 유명 촐리마는 (주로 인도의) 블록체인 및 암호화폐 전문가들을 대상으로 이전 골랑고스트(GolangGhost) RAT의 파이썬 버전인 새로운 파일랑고스트 RAT을 사용하고 있습니다."라고 말했습니다.

시스코 탈로스에 따르면 "유명한 촐리마" 는 2024년 중반 또는 그 이전에 처음 보고되었습니다.

라자루스 그룹은 미국 기반 암호화폐 회사를 직접 표적으로 삼고, 경우에 따라 갈취하는 것으로 알려져 있지만, 크라켄과 같이 미국 소재 암호화폐 기업을 직접 공격하는 것으로 알려진 반면, 유명 촐리마는 지원서를 통해 기업 네트워크에 침투하는 다른 방식을 취합니다.

크라켄과 다른 기업에 대한 북한의 행동과 달리 유명 촐리마의 공격은 지원자 자체를 이용해 기업 시스템에 접근하지 않습니다.

그 대신, 유명 암호화폐 기업을 모방한 가짜 채용 사이트를 통해 피해자들을 유인합니다. 그러나 입사 지원서에는 브랜드가 없고 말도 안 되는 질문이 포함되어 있습니다: "이 기술 지원 서버가 왜 그렇게 어려운가요?"

이러한 공격은 제대로 실행되지 않을 뿐 아니라, 효과적인 것으로 알려진 라자루스 그룹의 명성과도 상반됩니다. 시스코 탈로스는 유명 촐리마가 비교적 아마추어적이라고 지적합니다.

범죄자들은 기술 또는 암호화폐 회사로 위장한 가상의 채용 사이트를 통해 피해자를 유인합니다. 지원서를 제출한 후 의심하지 않은 피해자는 온라인 인터뷰에 초대됩니다. 면접이 진행되는 동안, 가짜 사이트는 면접 대상자에게 명령줄 인터페이스(CLI)를 통해 명령을 입력하도록 요청합니다. 이 명령은 비디오 드라이버를 설치하는 것이라고 하지만 실제로는 악성 소프트웨어를 다운로드하고 실행합니다.

일단 설치되면, 유명 촐리마가 피해자의 컴퓨터에 대한 전체 액세스 권한을 획득할 수 있게 해줍니다. 로그인 정보, 브라우저 기록, 암호화폐 지갑 데이터를 탈취할 수 있습니다.

또한 이 멀웨어는 메타마스크, 팬텀, 1패스워드 등 80개 이상의 인기 확장 프로그램을 노립니다.

이 공격의 실제 목표는 아직 명확하지 않습니다. 이러한 행위가 단발적인 범죄인지 아니면 조직적인 대규모 공격을 위한 첫 단계인지는 알려지지 않았습니다. 유명 촐리마가 이들 후보자의 컴퓨터를 감염시킨 후 이들을 사칭하여 암호화폐 구직 시장에 보다 효과적으로 침투하기 위한 것일 수 있습니다.

이후 비트멕스 사건에서 라자루스 그룹이 침투를 위한 낮은 수준의 팀과 데이터 탈취를 위한 고도로 전문화된 팀 등 최소 두 개의 별도 팀을 사용하는 것으로 드러난 만큼, 유명 촐리마 역시 북한 해커 커뮤니티의 계층적 진화를 보여주는 것이 아닌지 궁금해지는 것은 당연합니다.

특히 인도에서 암호화폐 업계에 종사하려는 후보자들은 매우 주의해야 할 것입니다. 원치 않는 취업 기회를 경계해야 합니다. 출처를 모르는 경우 시스템에서 명령을 실행하지 마세요.

최종 장치를 보호하고, 다중 인증(MFA)을 사용하고, 브라우저 확장 프로그램을 주의 깊게 모니터링하는 것도 필수적입니다.

마지막으로, 개인 정보나 직업 정보를 제공하기 전에 채용 포털의 진위 여부를 확인하는 것이 중요합니다.