악명 높은 북한 해커들이 가짜 인터뷰와 멀웨어를 통해 데이터와 지갑을 탈취하는 방식으로 인도의 암호화폐 후보자들을 노리고 있습니다.
암호화폐 관련 해킹 활동이 새롭고 우려스러운 수준에 도달했습니다.
시스코 탈로스의 보고서에 따르면, '유명 촐리마'로 알려진 북한 사이버 범죄 집단이 작전을 강화한 것으로 보입니다. 유명 촐리마는 현재 완전히 새로운 공격 방법을 사용하여 인도의 암호화폐 분야 구직자들을 집중적으로 공격하고 있습니다.
라자루스 그룹처럼 노골적인 대규모 공격을 수행하는 대신, 유명 촐리마는 암호화폐 분야 기업에 접근하기 위한 기발한 전략을 고안해냈습니다.시스코 탈로스는 "북한과 연계된 위협 행위자인 유명 촐리마는 (주로 인도의) 블록체인 및 암호화폐 전문가들을 대상으로 이전 골랑고스트(GolangGhost) RAT의 파이썬 버전인 새로운 파일랑고스트 RAT을 사용하고 있습니다."라고 말했습니다.
라자루스 그룹은 미국 기반 암호화폐 회사를 직접 표적으로 삼고, 경우에 따라 갈취하는 것으로 알려져 있지만, 크라켄과 같이 미국 소재 암호화폐 기업을 직접 공격하는 것으로 알려진 반면, 유명 촐리마는 지원서를 통해 기업 네트워크에 침투하는 다른 방식을 취합니다.
크라켄과 다른 기업에 대한 북한의 행동과 달리 유명 촐리마의 공격은 지원자 자체를 이용해 기업 시스템에 접근하지 않습니다.
그 대신, 유명 암호화폐 기업을 모방한 가짜 채용 사이트를 통해 피해자들을 유인합니다. 그러나 입사 지원서에는 브랜드가 없고 말도 안 되는 질문이 포함되어 있습니다: "이 기술 지원 서버가 왜 그렇게 어려운가요?"
이러한 공격은 제대로 실행되지 않을 뿐 아니라, 효과적인 것으로 알려진 라자루스 그룹의 명성과도 상반됩니다. 시스코 탈로스는 유명 촐리마가 비교적 아마추어적이라고 지적합니다.
범죄자들은 기술 또는 암호화폐 회사로 위장한 가상의 채용 사이트를 통해 피해자를 유인합니다. 지원서를 제출한 후 의심하지 않은 피해자는 온라인 인터뷰에 초대됩니다. 면접이 진행되는 동안, 가짜 사이트는 면접 대상자에게 명령줄 인터페이스(CLI)를 통해 명령을 입력하도록 요청합니다. 이 명령은 비디오 드라이버를 설치하는 것이라고 하지만 실제로는 악성 소프트웨어를 다운로드하고 실행합니다.
일단 설치되면, 유명 촐리마가 피해자의 컴퓨터에 대한 전체 액세스 권한을 획득할 수 있게 해줍니다. 로그인 정보, 브라우저 기록, 암호화폐 지갑 데이터를 탈취할 수 있습니다.
또한 이 멀웨어는 메타마스크, 팬텀, 1패스워드 등 80개 이상의 인기 확장 프로그램을 노립니다.
이 공격의 실제 목표는 아직 명확하지 않습니다. 이러한 행위가 단발적인 범죄인지 아니면 조직적인 대규모 공격을 위한 첫 단계인지는 알려지지 않았습니다. 유명 촐리마가 이들 후보자의 컴퓨터를 감염시킨 후 이들을 사칭하여 암호화폐 구직 시장에 보다 효과적으로 침투하기 위한 것일 수 있습니다.
이후 비트멕스 사건에서 라자루스 그룹이 침투를 위한 낮은 수준의 팀과 데이터 탈취를 위한 고도로 전문화된 팀 등 최소 두 개의 별도 팀을 사용하는 것으로 드러난 만큼, 유명 촐리마 역시 북한 해커 커뮤니티의 계층적 진화를 보여주는 것이 아닌지 궁금해지는 것은 당연합니다.
특히 인도에서 암호화폐 업계에 종사하려는 후보자들은 매우 주의해야 할 것입니다. 원치 않는 취업 기회를 경계해야 합니다. 출처를 모르는 경우 시스템에서 명령을 실행하지 마세요.
최종 장치를 보호하고, 다중 인증(MFA)을 사용하고, 브라우저 확장 프로그램을 주의 깊게 모니터링하는 것도 필수적입니다.
마지막으로, 개인 정보나 직업 정보를 제공하기 전에 채용 포털의 진위 여부를 확인하는 것이 중요합니다.
암호화폐 관련 해킹 활동이 새롭고 우려스러운 수준에 도달했습니다.
시스코 탈로스의 보고서에 따르면, '유명 촐리마'로 알려진 북한 사이버 범죄 집단이 작전을 강화한 것으로 보입니다. 유명 촐리마는 현재 완전히 새로운 공격 방법을 사용하여 인도의 암호화폐 분야 구직자들을 집중적으로 공격하고 있습니다.
라자루스 그룹처럼 노골적인 대규모 공격을 수행하는 대신, 유명 촐리마는 암호화폐 분야 기업에 접근하기 위한 기발한 전략을 고안해냈습니다.시스코 탈로스는 "북한과 연계된 위협 행위자인 유명 촐리마는 (주로 인도의) 블록체인 및 암호화폐 전문가들을 대상으로 이전 골랑고스트(GolangGhost) RAT의 파이썬 버전인 새로운 파일랑고스트 RAT을 사용하고 있습니다."라고 말했습니다.
시스코 탈로스에 따르면 "유명한 촐리마" 는 2024년 중반 또는 그 이전에 처음 보고되었습니다.
라자루스 그룹은 미국 기반 암호화폐 회사를 직접 표적으로 삼고, 경우에 따라 갈취하는 것으로 알려져 있지만, 크라켄과 같이 미국 소재 암호화폐 기업을 직접 공격하는 것으로 알려진 반면, 유명 촐리마는 지원서를 통해 기업 네트워크에 침투하는 다른 방식을 취합니다.
크라켄과 다른 기업에 대한 북한의 행동과 달리 유명 촐리마의 공격은 지원자 자체를 이용해 기업 시스템에 접근하지 않습니다.
그 대신, 유명 암호화폐 기업을 모방한 가짜 채용 사이트를 통해 피해자들을 유인합니다. 그러나 입사 지원서에는 브랜드가 없고 말도 안 되는 질문이 포함되어 있습니다: "이 기술 지원 서버가 왜 그렇게 어려운가요?"
이러한 공격은 제대로 실행되지 않을 뿐 아니라, 효과적인 것으로 알려진 라자루스 그룹의 명성과도 상반됩니다. 시스코 탈로스는 유명 촐리마가 비교적 아마추어적이라고 지적합니다.
범죄자들은 기술 또는 암호화폐 회사로 위장한 가상의 채용 사이트를 통해 피해자를 유인합니다. 지원서를 제출한 후 의심하지 않은 피해자는 온라인 인터뷰에 초대됩니다. 면접이 진행되는 동안, 가짜 사이트는 면접 대상자에게 명령줄 인터페이스(CLI)를 통해 명령을 입력하도록 요청합니다. 이 명령은 비디오 드라이버를 설치하는 것이라고 하지만 실제로는 악성 소프트웨어를 다운로드하고 실행합니다.
일단 설치되면, 유명 촐리마가 피해자의 컴퓨터에 대한 전체 액세스 권한을 획득할 수 있게 해줍니다. 로그인 정보, 브라우저 기록, 암호화폐 지갑 데이터를 탈취할 수 있습니다.
또한 이 멀웨어는 메타마스크, 팬텀, 1패스워드 등 80개 이상의 인기 확장 프로그램을 노립니다.
이 공격의 실제 목표는 아직 명확하지 않습니다. 이러한 행위가 단발적인 범죄인지 아니면 조직적인 대규모 공격을 위한 첫 단계인지는 알려지지 않았습니다. 유명 촐리마가 이들 후보자의 컴퓨터를 감염시킨 후 이들을 사칭하여 암호화폐 구직 시장에 보다 효과적으로 침투하기 위한 것일 수 있습니다.
이후 비트멕스 사건에서 라자루스 그룹이 침투를 위한 낮은 수준의 팀과 데이터 탈취를 위한 고도로 전문화된 팀 등 최소 두 개의 별도 팀을 사용하는 것으로 드러난 만큼, 유명 촐리마 역시 북한 해커 커뮤니티의 계층적 진화를 보여주는 것이 아닌지 궁금해지는 것은 당연합니다.
특히 인도에서 암호화폐 업계에 종사하려는 후보자들은 매우 주의해야 할 것입니다. 원치 않는 취업 기회를 경계해야 합니다. 출처를 모르는 경우 시스템에서 명령을 실행하지 마세요.
최종 장치를 보호하고, 다중 인증(MFA)을 사용하고, 브라우저 확장 프로그램을 주의 깊게 모니터링하는 것도 필수적입니다.
마지막으로, 개인 정보나 직업 정보를 제공하기 전에 채용 포털의 진위 여부를 확인하는 것이 중요합니다.
다음 읽기
암호화폐 충돌: 중국, 루비안의 127,000 BTC 비트코인 익스플로잇에 대해 미국을 비난하다
중국은 미국이 2020년에 루비안에서 127,000 BTC를 '유출'했다고 비난합니다. 연구원들은 이 익스플로잇을 키 생성의 결함과 연관시킵니다.
새로운 일레븐 드레인 공격: 암호화폐 지갑에 대한 위협
새로운 서비스형 피싱인 Eleven Drainer가 사업을 확장하고 있습니다. 공격의 정교함에도 불구하고 인적 오류는 여전히 주요 약점으로 남아 있습니다. 방어책은 사용자 규율에 있습니다.
진화한 북한 해커들: 암호화폐 부문의 새로운 위험 수준
북한 해커들이 암호화폐 사기를 강화합니다: 고스트콜과 고스트하이어 캠페인은 AI와 웹3 경영진을 사칭하여 라자루스 그룹에서 진화한 멀웨어를 유포합니다.
북한 궁극의 사이버 공격? 회피형 멀웨어와 블록체인이 화두에 올랐습니다.
시스코 탈로스와 구글에 따르면, 북한 그룹인 유명 촐리마와 UNC5342는 새로운 변종 분산형 멀웨어(예: 이더히딩, 비버테일/오터쿠키 쌍)를 사용하고 있습니다.