북한 해커, 가짜 암호화폐 회의로 3억 달러 훔치다

북한 사이버 범죄자들은 사회 공학 캠페인에서 정교한 전략 변경을 통해 신뢰할 수 있는 업계 인사를 사칭하여 가짜 동영상 만남을 통해 3억 달러 이상을 훔쳤습니다.

이 경고는 MetaMask의 보안 연구원 Taylor Monahan(Tayvano로 알려짐)이 암호화폐 경영진을 노리는 복잡한 '롱콘'(long-con) 사기에 대해 설명합니다.

미끼: 탈취된 텔레그램 계정과 가짜 연락처

모나한에 따르면, 이 캠페인은 인공 지능을 이용한 '딥페이크'에 의존하던 최근 공격에서 벗어난 것이라고 합니다. 대신, 텔레그램 계정을 탈취하고 실제 인터뷰에서 재활용한 루프 영상을 사용하는 보다 직접적인 접근 방식을 사용합니다.

북한 위협 행위자들은 여전히 Zoom/Teams에서 가짜 회의를 통해 너무 많은 사람들을 속이고 있습니다."라고 그는 said Monahan on X

공격은 일반적으로 해커가 신뢰할 수 있는 텔레그램 계정을 장악한 후 시작되며, 주로 피해자가 이전에 컨퍼런스에서 만난 벤처 자본가 또는 사람의 소유인 경우가 많습니다. 그런 다음 공격자는 이전 채팅 기록을 악용하여 합법적으로 보이도록 위장된 캘린더 링크를 통해 피해자를 Zoom 또는 Microsoft Teams의 화상 통화로 유도합니다.

준비 단계: 재활용된 영상과 가짜 기술적 문제

회의가 시작되면 피해자는 연락처의 피드> 라이브 비디오처럼 보이는 것을 확인하게 됩니다. 실제로는 팟캐스트나 공개 출연에서 재활용한 녹화 영상인 경우가 많습니다.

결정적인 순간은 보통 모의 기술 문제가 발생한 후에 발생합니다. 공격자는 오디오 또는 비디오 문제를 언급한 후 피해자에게 특정 스크립트를 다운로드하거나 소프트웨어 개발 키트(SDK)를 업데이트하여 연결을 다시 설정할 것을 촉구합니다. 이때 전달되는 파일에는 악성 페이로드가 포함되어 있습니다.

최종 타격과 원격 접근 툴(RAT)의 역할

일단 설치되면, 멀웨어(종종 원격 액세스 트로이 목마)는 공격자에게 시스템을 완전히 제어할 수 있는 권한을 부여합니다. RAT는 암호화폐 지갑을 탈취하고 내부 보안 프로토콜과 텔레그램 세션 토큰을 포함한 민감한 데이터를 유출한 다음 네트워크의 다음 피해자를 노리는 데 사용됩니다.

모나한은 이 특정 업체가 "전문적인 예의를 무기화"한다고 경고했습니다.

요청을 치명적인 보안 침해로 전환합니다. 업계 종사자들에게 통화 중 <소프트웨어> 다운로드 요청은 이제 적극적인 공격 신호로 간주됩니다.

이러한 '가짜 회의' 전략은 바이비트 침해 사건을 포함해 지난 한 해 동안 업계에서 약 20억 달러를 횡령한 북한 공격자들의 광범위한 공격의 일환입니다.