시스코 탈로스와 구글 위협 인텔리전스 그룹의 새로운 연구 결과에 따르면 북한과 연계된 위협 행위자들이 탈중앙화 및 회피형 멀웨어 도구를 사용하여 사이버 작전을 강화하고 있습니다.
이 캠페인은 정교한 채용 사기를 통해 암호화폐를 훔치고 네트워크에 침투하며 보안 통제를 회피하는 것을 목표로 합니다.
회피를 위한 멀웨어 기술의 진화
시스코 Talos 연구원들은 북한 그룹 Famous Chollima의 지속적인 캠페인을 확인했으며, 두 가지 보완적인 멀웨어 변종을 사용했습니다: 비버테일과 오터쿠키는 전통적으로 자격 증명 도용과 데이터 유출에 사용되던 이 프로그램들이 새로운 기능과 긴밀한 상호작용을 통합하도록 진화했습니다.
최근 스리랑카의 한 조직과 관련된 사건에서 공격자들은 구직자를 속여 기술 평가로 위장한 악성 코드를 설치하도록 했습니다.
이 조직 자체가 직접적인 표적은 아니었지만 시스코 탈로스 분석가들은 오터쿠키에 연결된 키로깅 및 스크린샷 캡처 모듈을 관찰했습니다. 이 모듈은 키 입력을 은밀하게 기록하고 데스크톱 이미지를 캡처하여 원격 명령 서버로 자동 전송했습니다.
이 관찰은 북한과 연계된 위협 그룹이 지속적으로 진화하고 있으며 의심하지 않는 표적을 손상시키기 위해 사회 공학 기술에 집중하고 있다는 점을 강조합니다.
블록체인-사용-명령-인프라
구글 위협 인텔리전스 그룹(GTIG)은 북한과 연계된 UNC5342의 작전을 확인했습니다. 이 그룹은 EtherHiding이라는 새로운 멀웨어를 사용했습니다.
이 도구는 퍼블릭 블록체인에 악성 JavaScript 페이로드를 숨겨 분산된 명령 및 제어(C2) 네트워크로 변환합니다.
공격자는 블록체인를 사용하여 기존 서버에 의지하지 않고 멀웨어의 동작을 원격으로 수정할 수 있습니다. 그 결과 법 집행이 훨씬 더 어려워집니다.
또한 GTIG는 UNC5342가 이전에 팔로알토 네트웍스가 확인한 '전염성 인터뷰'라는 사회 공학 캠페인에 이더숨기를 적용하여 북한과 연계된 위협 행위자들의 지속성을 입증했다고 보고했습니다.
Target: 암호화폐 분야 전문가
구글 연구자들에 따르면, 이러한 사이버 작전은 일반적으로 암호화폐 및 사이버 보안 분야의 전문가를 대상으로 하는 사기성 구인 광고로 시작됩니다.
피해자는 가짜 평가에 참여하도록 초대받고, 이 과정에서 악성 코드가 포함된 파일을 다운로드하도록 요청받습니다.
이더리딩이란 무엇인가요?
- blackorbird (@blackorbird) 10월 16일, 2025
공격자가 (BNB 스마트 체인 및 이더리움과 같은) 퍼블릭 블록체인의 스마트 컨트랙트에 악성 페이로드(JADESNOW 및 INVISIBLEFERRET 멀웨어 등)를 삽입하는 새로운 기법입니다. https://t.co/AyKeSuPyWW pic.twitter.com/we4NV2PTu5
감염 과정에는 종종 JadeSnow, BeaverTail, InvisibleFerret 등 여러 멀웨어 패밀리가 관여합니다. 공격자들은 이러한 툴을 함께 사용하여 시스템에 액세스하고 자격 증명을 탈취하며 랜섬웨어를 효율적으로 배포할 수 있습니다. 이들의 궁극적인 목표는 스파이 활동과 금융 절도에서 장기적인 네트워크 침투에 이르기까지 다양합니다.
시스코와 Google은 조직이 북한과 관련된 지속적인 사이버 위협을 탐지하고 대응하는 데 도움이 되는 침해 지표(IOC)를 발표했습니다. 연구원들은 블록체인과 모듈형 멀웨어의 통합으로 인해 글로벌 사이버 보안 방어 노력이 계속 복잡해질 것이라고 경고합니다.
