미국 사이버보안 및 기반시설 보안국(CISA)은 연방수사국(FBI), 재무부와 함께 라자루스(Lazarus) 그룹이 블록체인 회사를 대상으로 수행하는 새로운 사이버 공격에 대해 경고했다.
더해커뉴스에 보도에 따르면, 활동 클러스터 TraderTraitor라고 불리는 이 침투에는 최소 2020년부터 Web3.0 산업에서 활동하는 북한 국가가 후원하는 APT(Advanced Persistent Threat) 공격자가 포함된다고 전했다.
표적 기관으로는 암호화폐 거래소, 탈중앙화금융(DeFi) 프로토콜, 플레이투이(Play-to-Earn) 암호화폐 비디오 게임, 암호화폐 거래 기업, 암호화폐에 투자하는 벤처캐피털 펀드, 대규모 암호화폐 또는 가치 있는 대체 불가능한 토큰(NFT) 개인 보유자 등이 있다.
공격 체인은 위협 행위자가 서로 다른 통신 플랫폼을 통해 피해자들을 유인하여 Windows와 macOS용 무기화된 암호화폐 앱을 다운로드하도록 유인하고, 그 후 네트워크 전체에 악성 프로그램을 전파하기 위한 접근 권한을 활용하여 개인 키를 훔치고 악성 블록체인 거래를 시작하는 후속 활동을 수행한다.
"침입은 암호 화폐 회사의 직원에게 전송되는 수많은 스피어 피싱 메시지로 시작된다. 메시지는 종종 채용 활동을 모방하고 수신자가 악성 코드가 있는 암호화폐 응용 프로그램을 다운로드하도록 유도하기 위해 고임금 일자리를 제공한다."라고 권고문은 설명한다.
이 그룹이 암호화폐를 훔치기 위해 맞춤형 악성코드를 배포한 것은 이번이 처음이 아니다. 라자루스 그룹에 의해 실행된 다른 캠페인은 AppleJeus, SnatchCrypto, 그리고 최근에는 Windows 시스템 백도어에 트로이 목마화된 DeFi 지갑 앱을 사용하는 것으로 구성되어 있다.
TraderTraitor 위협은 오픈 소스 프로젝트를 기반으로 하고 암호화폐 거래 또는 가격 예측 소프트웨어라고 주장하는 다수의 가짜 암호 앱으로 구성되어 있으며, 이전에 암호화폐 및 모바일 게임 산업에 대한 그룹의 해킹 캠페인과 관련된 악성 프로그램인 Manuscrypt 원격 액세스 트로이 목마를 전달한다.
악성 앱 목록은 아래와 같다.
△DAFOM (dafom[.]dev)
△TokenAIS (tokenais[.]com)
△CryptAIS (cryptais[.]com)
△AlticGO (alticgo[.]com)
△Esilet (esilet[.]com), and
△CreAI Deck (creaideck[.]com)
이 권고는 재무부가 Axie Infinity의 Ronin 네트워크의 암호 화폐 도난을 라자루스 그룹에 돌린 후 도난당한 자금을 수령하는 데 사용된 지갑 주소를 제재한 지 일주일도 채 되지 않은 시점에 나온 것이다.
기관은 "북한 국가가 후원하는 사이버 범죄자들은 관심 있는 컴퓨터 네트워크를 악용하고, 민감한 암호화폐-지적 재산을 획득하며, 금융 자산을 획득하기 위해 모든 종류의 전술과 기술을 사용한다. 이러한 행위자들은 암호화폐 기술 회사, 게임 회사 및 거래소의 취약점을 계속 악용하여 북한 정권을 지원하기 위한 자금을 생성 및 세탁할 것"이라고 말했다.
★정보보안 대표 미디어 데일리시큐!★