Home암호화폐북한 해커, 가짜 코인베이스 일자리 제의로 암호화폐 전문가 겨냥

북한 해커, 가짜 코인베이스 일자리 제의로 암호화폐 전문가 겨냥

악명 높은 북한의 Lazarus 해킹 그룹의 새로운 사회 공학 캠페인이 발견되었습니다. 이 해커들은 Coinbase를 사칭하여 핀테크 업계의 직원을 표적으로 삼았습니다.

해킹 그룹이 사용하는 일반적인 전술은 LinkedIn을 통해 대상에게 접근하여 채용 제안을 제시하고 사회 공학 공격의 일환으로 예비 토론을 진행하는 것입니다.

에 따르면 호세인 자지2022년 2월부터 Lazarus 활동을 면밀히 추적해 온 Malwarebytes의 보안 연구원인 , 위협 행위자는 이제 Coinbase에서 온 것처럼 가장하여 “제품 보안 엔지니어링 관리자” 역할에 적합한 후보자를 표적으로 삼고 있습니다.

Coinbase는 세계 최대의 암호화폐 거래소 플랫폼 중 하나로, Lazarus가 권위 있는 조직에서 수익성 있고 매력적인 일자리 제안을 위한 기반을 마련할 수 있도록 합니다.

피해자가 직업에 대한 PDF라고 생각하는 것을 다운로드하면 실제로는 PDF 아이콘을 사용하는 악성 실행 파일을 받는 것입니다. 이 경우 파일 이름은 “Coinbase_online_careers_2022_07.exe”이며 악성 DLL을 로드하는 동안 실행될 때 아래에 표시된 미끼 PDF 문서를 표시합니다.

미리보기에 표시된 루어 PDF 파일
가짜 PDF 실행 파일을 실행할 때 표시되는 미끼 PDF(@h2jazi)

일단 실행되면 악성코드는 GitHub를 명령 및 제어 서버로 사용하여 감염된 장치에서 수행할 명령을 수신합니다.

이 공격 체인은 올해 초 Malwarebytes가 블로그 게시물에 기록한 것과 유사합니다.

Jazi는 Bleeping Computer에 Lazarus가 유사한 전술과 방법을 사용하여 대상을 맬웨어로 감염시키고 개별 피싱 캠페인에는 인프라가 겹치는 특징이 있다고 말했습니다.

과거에 Lazarus가 가짜 구인 제안을 사용하여 수행한 다른 캠페인은 일반 역학 그리고 록히드마틴.

암호화를 목표로 하는 Lazarus 해커

국가가 후원하는 북한 해킹 그룹은 은행, 암호화폐 거래소, NFT 시장 및 상당한 자산을 보유한 개인 투자자를 대상으로 금전적 동기를 부여한 공격을 감행하는 것으로 알려져 있습니다.

올해 초 미국 정보국은 Lazarus가 사람들의 개인 키를 훔치고 자산을 빨아들이는 트로이목마 암호화폐 지갑과 투자 앱을 퍼뜨리는 것에 대해 경고했습니다.

지난 4월 미국 재무부와 FBI는 블록체인 기반 게임인 Axie Infinity에서 훔친 암호화폐를 Lazarus와 연결하여 6억 1,700만 달러 상당의 이더리움 및 USDC 토큰을 훔친 책임을 이들에게 부여했습니다.

나중에 공개된 바와 같이, 7월에 Axie Infinity 해킹은 블록체인 엔지니어 중 한 명에게 전송된 수익성 높은 일자리 제안의 세부 정보가 포함된 PDF 파일 덕분에 가능했습니다.

파일을 열면 엔지니어의 컴퓨터가 감염되어 Lazarus가 권한을 높이고 회사 네트워크에서 횡적으로 이동하여 결국 Ronin Bridge에서 취약점을 찾아 익스플로잇을 트리거할 수 있었습니다.

이와 동일한 유형의 공격은 Lazarus가 최신 Coinbase 유인 캠페인에서 달성하기를 희망하는 것일 수 있습니다. 회사의 한 사람만 PDF를 열고 해커가 기업 네트워크에 대한 초기 액세스 권한을 얻을 수 있기 때문입니다.


최신 기사

더 탐색