인도 암호화폐 구직자들, 북한 연계 해커의 새로운 악성코드 위협에 직면

북한 정부와 연계된 해커들이 인도의 암호화폐 전문가들을 표적으로 삼아 새로운 매우 타깃화된 악성 코드 캠페인을 벌이고 있다고 합니다. 사이버 보안 회사 Cisco Talos. 공격자는 다음과 같은 그룹으로 식별됩니다. 유명한 초리마, 가짜 구직 인터뷰와 사기성 기술 테스트 웹사이트를 사용하여 사용자의 기기를 새로운 Python 기반 원격 액세스 트로이 목마(RAT)로 감염시키고 있습니다. 필랑고스트.

2024년 중반부터 시작된 이 작전은 북한의 암호화폐 간첩 활동 확대의 최신 국면을 보여줍니다. 시스코 탈로스 연구원들은 공격자들이 코인베이스와 같은 유명 암호화폐 회사의 채용 담당자로 위장하고 있다고 밝혔습니다. Uniswap, Robinhood, Archblock 등이 있습니다. 주요 대상은 소프트웨어 엔지니어, 마케팅 전문가, 그리고 블록체인 및 디지털 자산 분야의 전문가들입니다.

구직 유인책과 가짜 면접

이 캠페인은 사회 공학적 수법으로 시작됩니다. 피해자들은 가짜 채용 담당자에게 연락을 받고, 진짜 회사 채용 페이지를 흉내 낸 듯한 사이트를 방문하도록 유도됩니다. 이러한 사이트는 기술 평가 시험을 실시하고 이름, 이력서, 지갑 주소, 자격증 등 민감한 정보를 요구합니다.

지원자들은 화상 면접을 위해 카메라와 마이크 접근 권한을 활성화하라는 지시를 받습니다. 이 단계에서 가짜 채용 담당자는 피해자들에게 비디오 드라이버 설치로 위장한 특정 명령을 실행하도록 요구하는데, 이 명령은 필랑고스트 악성 코드.

Cisco Talos는 RAT가 해커에게 감염된 시스템에 대한 완전한 원격 제어권을 제공하고 80개 이상의 브라우저 확장 프로그램에서 자격 증명과 쿠키를 훔칠 수 있음을 확인했습니다. 여기에는 널리 사용되는 비밀번호 관리자와 암호화폐 지갑이 포함됩니다. MetaMask, 1Password, NordPass, Phantom, TronLink 및 MultiverseX.

지속적인 액세스를 통한 고급 맬웨어

PylangGhost는 이전에 알려진 위협의 Python 기반 진화형입니다. 골랑고스트. 새로운 변종은 다음을 타겟으로 합니다. 윈도우 시스템 독점적으로 사용되며, 데이터를 유출하고 손상된 시스템에 대한 지속적인 접근을 유지하도록 설계되었습니다. 시스코 탈로스에 따르면 리눅스 시스템은 이러한 공격의 영향을 받지 않은 것으로 보입니다.

이 악성코드는 스크린샷 촬영, 시스템 세부 정보 수집, 파일 관리, 지속적인 원격 제어 등 다양한 명령을 실행할 수 있습니다. 신뢰할 수 있는 도메인에 등록된 여러 명령 및 제어 서버를 통해 작동합니다. 퀵캠픽스 온라인 or autodriverfix.online.

이전 사기와는 달리, 이번 캠페인은 대규모 피싱이나 거래소 직접 절도에 초점을 맞추지 않습니다. 대신, 암호화폐 업계 전문가, 즉 핵심 인프라, 내부 도구 및 민감한 데이터에 접근할 수 있는 사람들을 겨냥한 정밀 공격입니다.

인도: 높은 가치의 타겟

블록체인 개발에서 가장 빠르게 성장하는 허브 중 하나인 인도가 주요 타깃이 되었습니다. 글로벌 암호화폐 플랫폼에서 활동하는 많은 전문가들이 인도에 기반을 두고 있으며, 이러한 새로운 전략은 이러한 인재 집중 현상에 직접적인 영향을 미칩니다.

에 따르면 딜립 쿠마르 HV인도 디지털 사우스 트러스트(Digital South Trust)의 이사인 그는 이러한 유형의 위협에 대처하기 위해 긴급한 개혁이 필요하다고 촉구했습니다. 블록체인 기업에 대한 의무적 사이버 보안 감사, 가짜 구인 포털에 대한 감시 강화, 인도 IT법에 따른 법적 개혁.

유망한 프로젝트를 발견하세요...

유망한 프로젝트...

(광고)

기사는 계속됩니다...

그는 또한 다음과 같은 정부 기관에 촉구했습니다. CERT-In, 메이티및 NCIIPC 협력을 강화하고 대중 인식 캠페인을 시작하며, 다른 관할권과 정보를 공유합니다.

디지털 스파이 활동의 ​​증가 패턴

가짜 구인 제의는 북한 사이버 작전에서 꾸준히 사용되는 도구가 되었습니다. 나사로 그룹또 다른 북한 관련 해커 집단은 2024년 초에 유사한 전략을 사용했습니다. 만든 가짜 미국 회사와 같은 블록노바스 LLC 및  소프트글라이드 LLC 악성 소프트웨어가 가득한 인터뷰에 암호화폐 개발자들을 유인하기 위해서입니다.

한 사건에서 라자루스 해커들은 전직 계약업체로 위장하여 레이디언트 캐피털(Radiant Capital)을 해킹하여 50천만 달러의 손실을 입혔습니다. 일본, 한국, 미국의 공동 성명은 최근 북한 관련 단체, 암호화폐 659억XNUMX만 달러 훔쳐 2024만으로.

이러한 캠페인은 단순히 절도만을 목적으로 하지 않습니다. 정보 수집과 암호화폐 기업 내부 침투를 목표로 하는 경우가 점점 더 늘고 있습니다. 궁극적인 목표는 금전적 이득과 블록체인 시스템 및 데이터에 대한 전략적 통제를 동시에 확보하는 것으로 보입니다.

대책과 앞으로의 길

시스코 탈로스 보고서는 암호화폐 업계 전문가들에게 경종을 울리는 보고서입니다. 시스코는 구직 활동, 특히 새로운 플랫폼, 익숙하지 않은 채용 담당자, 또는 알려지지 않은 URL을 접할 때 더욱 주의를 기울일 것을 권고합니다.

전문가에게는 다음 사항을 권고합니다.

• 구직 면접 중에는 소프트웨어를 설치하거나 명령을 실행하지 마십시오.
• 회사와 채용 담당자의 합법성을 확인하세요.
• 엔드포인트 보호 및 맬웨어 방지 도구를 사용하세요.
• 정기적으로 비밀번호를 업데이트하고 이중 인증을 활성화하세요.

또한 회사에서는 내부 통제를 강화하고 직원들이 소셜 엔지니어링 시도를 발견하고 보고하도록 교육을 받아야 합니다.