이미지 확대보기
암호화폐 전문매체 비트코이니스트닷컴은 28일(현지시간) 라자루스 해커 그룹은 코인베이스와 크립토닷컴(Crypto.com) 등 암호화폐 거래소의 광고 혹은 구인 문건을 통해 공격을 수행하는 맬웨어(악성 코드)를 배포했다고 보도했다.
이 사이버보안업체는 해커 그룹이 싱가포르에 본사를 둔 암호화폐 거래소 플랫폼인 크립토닷컴의 광고 포지션에 미끼 문서를 사용한 사실을 파악하고 이에 따라 해킹을 수행하고 있다.
해킹의 최신 변형은 "오퍼레이션 인터셉션(Operation In(ter)ception)"이라고 불린다. 보도에 따르면 이 피싱 캠페인은 지금까지 맥(Mac) 사용자만을 대상으로 하고 있다.
해킹에 사용된 악성코드는 가짜 코인베이스 채용 공고에 사용된 악성코드와 동일한 것으로 확인됐다.
지난달 연구진이 관찰한 결과 라자루스가 가짜 코인베이스 채용 공고를 이용해 맥OS 사용자들만 악성코드를 다운로드하도록 속인 것으로 드러났다.
◇라자루스 그룹이 크립토닷컴(Crypto.com) 플랫폼에서 해킹한 방법
이 해커들은 악성코드를 인기 있는 암호화폐 거래소의 채용 게시물로 위장했다. 이것은 조직적인 해킹으로 간주되어 왔다.
이는 싱가포르의 아트 디렉터-컨셉 아트(NFT)와 같이 다양한 직책에 대한 광고 공석이 표시된 디자인이 우수하고 합법적으로 보이는 PDF 문서를 사용해 수행된다.
센티넬원의 보고서에 따르면, 이 새로운 암호화폐 취업 미끼에는 라자루스의 링크드인(LinkedIn) 메시지로 연락해 다른 피해자들과 접촉하는 것이 포함되어 있다.
센티넬원은 해커 캠페인에 대한 추가 정보를 제공하면서, "이 단계에서 맬웨어가 어떻게 배포되고 있는지는 분명하지 않지만, 이전의 보고서들은 위협 행위자들이 링크드인의 표적 메시지를 통해 피해자를 유인하고 있다"고 시사했다.
이 두 개의 가짜 구인 광고는 '오퍼레이션 인(ter)셉션 개념'이라고 불리는 일련의 공격 중 가장 최근에 나온 것이며, 이는 '오퍼레이션 드림 잡(Operation Dream Job)'이라고 불리는 광범위한 해킹 작전에 속하는 폭넓은 캠페인의 일부이다.
◇맬웨어가 배포되는 방식에 대한 명확성 감소
이를 조사 중인 보안업체는 악성코드가 어떻게 유포되고 있는지 여전히 불분명하다고 언급했다.
센티넬원은 기술적인 부분을 고려해 1단계 드로퍼가 코인베이스 변종에서 사용된 템플릿 바이너리와 동일한 마하-O 바이너리(Mach-O binary)라고 밝혔다.
첫 번째 단계는 사용자 라이브러리에 지속성 에이전트를 삭제하는 새 폴더를 만드는 것으로 구성된다.
두 번째 단계의 주된 목적은 C2 서버에서 다운로더 역할을 하는 세 번째 단계의 바이너리를 추출하고 실행하는 것이다.
센티넬원은 "위협 행위자들은 바이너리 중 어떤 것도 암호화하거나 난독화하려는 노력을 하지 않았으며, 이는 아마도 단기적인 캠페인과/또는 목표에 의한 탐지에 대한 두려움이 거의 없음을 나타낸다"고 조언했다.
또 "오퍼레이션 인(ter)셉션이 암호화폐 거래소 플랫폼 사용자에서 직원까지 대상을 확대하고 있는 것 같다"고 언급했다.
김성은 글로벌이코노믹 기자
[알림] 본 기사는 투자판단의 참고용이며, 이를 근거로 한 투자손실에 대한 책임은 없습니다.
