북한 해커그룹 라자루스가 암호화폐 탈취를 목적으로 해킹 수법을 진화시키고 있다. 최근에는 미국 최대 암호화폐 거래소 코인베이스의 채용 제안 내용으로 꾸민 악성 메일을 암호화폐 업계 종사자들에게 배포하고 있는 것으로 확인됐다.
7일(현지시간) 블리핑컴퓨터 등 사이버보안 전문 외신들은 라자루스가 이 같은 수법의 새로운 사회공학적 공격(사람의 심리를 해킹에 이용하는 공격기법) 캠페인을 펼치고 있다고 보도했다.
사이버보안 업체 멀웨어바이츠가 올해 2월부터 라자루스의 활동을 면밀하게 관찰한 결과, 이들은 미국 최대 암호화폐 거래소 코인베이스가 채용을 제안한 것처럼 꾸민 악성 메일을 배포하고 있는 것으로 확인됐다. 대상은 핀테크 분야에 종사하는 엔지니어링 매니저나 제품 보안 담당자다.
그동안 소셜미디어 링크드인을 통해 채용을 제안하는 방식으로 공격 대상에 접근해 왔던 것에서 수법을 변주한 것으로 보인다.
라자루스는 악성 실행파일을 마치 채용 안내 내용을 담은 PDF처럼 보이도록 꾸며 전송했다. PDF 아이콘을 하고 있지만 실제 확장자는 'Coinbase_online_careers_2022_07.exe'로 악성코드를 담은 설치 파일이다. 악성파일이 로딩될 동안 채용관련 내용으로 꾸민 PDF 파일을 띄워, 피해자들이 의심하지 못하도록 했다.
라자루스는 북한 정권의 지원을 받는 해커그룹으로 주로 금전적 동기에 따라 공격을 수행하는 것으로 알려졌다. 은행, 암호화폐 거래소, 대체불가토큰(NFT) 마켓플레이스, 개인 투자자를 가리지 않고 공격을 수행하고 있다.
올해 초 미국 정보기관은 라자루스가 트로이 목마를 심은 암호화폐 지갑과 투자 앱을 퍼트리고, 사용자들의 개인 키를 알아내 자금을 훔치는 수법을 쓰고 있다고 경고하기도 했다.
관련기사
- 美 법무부, 北 '라자루스' 해커 3인 기소2021.02.18
- "해커, 한번에 14가지 공격 기법 써 털어간다"2022.08.03
- "해커 막는 AI, '보안 학습 데이터' 없으면 못 만들죠"2022.07.21
- 중국인 10억명 개인정보 털렸나?...해커 "10비트코인에 판매"2022.07.05
또 미국 재무부와 미국연방수사국(FBI)는 인기 블록체인 기반 게임 엑시 인피니티에서 발생한 암호화폐 도난 사고가 라자루스와 연관돼 있다는 수사결과를 발표하기도 했다. 엑시 인피니티 해킹 사고로 탈취된 암호화폐(이더리움 및 USDC 토큰)는 당시 시세로 약 8천억원 규모에 이른다.
액시인피니티 해킹도 내부 엔지니어가 채용 제안 메일로 위장한 악성파일을 열람한 것이 빌미가 된 것으로 밝혀졌다.