북한의 라자러스 그룹은 가짜 줌 통화, 도용된 신원, 그리고 맬웨어를 무기로 암호화폐 침투 전략을 확장했으며, 업계가 그 영향을 느끼기 시작하고 있습니다.
이더리움(ETH) 레이어-2 프로젝트 만타 네트워크의 공동 창립자 케니 리는 목요일에 트윗에서 라자러스 그룹의 정교한 줌 피싱 시도의 "표적"이 되었다고 말했습니다.
리의 알고 있는 연락처가 줌 통화를 주선했는데, 카메라에 익숙한 얼굴들이 나타났지만 아무도 말하지 않았습니다. 그러자 리에게 오디오를 수정하기 위한 스크립트를 다운로드하라는 메시지가 나타났습니다.
"그들의 진짜 얼굴을 볼 수 있었어요. 모든 것이 매우 사실적으로 보였습니다," 그는 목요일에 썼습니다. "하지만 그들의 목소리를 들을 수 없었고... 스크립트 파일을 다운로드하라고 요청했습니다. 저는 즉시 나갔습니다."
연락처를 확인하기 위해 리는 대신 구글 미트에서 대화를 계속하자고 요청했습니다. 사칭자는 거절했고, 잠시 후 모든 메시지가 지워졌으며 리는 차단되었습니다.
"라자러스의 소셜 엔지니어링이 꽤 좋아지고 있습니다," 그는 후속 트윗에서 덧붙였으며, 이 피싱 시도가 딥페이크나 "이전에 감염/해킹된 다른 사람들의 녹음"을 사용했을 수 있다고 말했습니다.
리는 이 피싱 시도가 라자러스 그룹의 소행인지 "확실하지 않다"고 언급했지만, 보안 연구원들에 따르면 해킹 그룹의 수법과 일치한다고 합니다. 디크립트(Decrypt)는 리에게 연락했으며, 그가 응답하면 이 기사를 업데이트할 것입니다.
이 사건은 역사상 가장 큰 암호화폐 절도 중 일부를 책임진 북한 국가 지원 해킹 부대인 라자러스와 관련된 최근의 여러 공격 중 하나입니다.
이미 2월의 14억 달러 규모의 바이비트(Bybit) 해킹과 연관된 이 그룹은 딥페이크 영상, 맬웨어, 소셜 엔지니어링을 혼합하여 경험 많은 암호화폐 임원들조차 속이는 전략을 바꾸고 있는 것으로 보고됩니다.
패러다임의 보안 연구원 샘쯔선과 구글의 위협 인텔리전스 그룹(GTIG)의 새로운 연구에 따르면, 라자러스는 북한의 광범위한 사이버 장치의 한 부분에 불과합니다.
이 정권은 이제 애플주스, APT38, 트레이더트레이터와 같은 해커 하위 그룹의 네트워크를 배치하여 가짜 구직 제안과 줌 통화부터 맬웨어가 포함된 npm 패키지와 협박에 이르기까지 다양한 전술을 사용합니다.
보안 연맹(SEAL)의 닉 백스는 3월에 경고를 발령했습니다. "줌 통화에서 오디오 문제가 있나요? 그건 벤처 캐피털리스트가 아니라 북한 해커들입니다."
그는 채팅 메시지가 오디오 문제를 언급하고, 익숙한 얼굴이 영상에 나타나며, 피해자가 맬웨어를 다운로드하도록 유도하는 플레이북을 설명했습니다. "그들은 인간 심리를 악용합니다," 그가 썼습니다. "패치를 설치하면 당신은 끝장납니다."
온체인 게임 및 IP를 위한 웹3 플랫폼 MON 프로토콜의 공동 창립자 줄리오 실로얀니스도 비슷한 경험을 공유했습니다. 한 해커가 프로젝트 리더를 사칭하며 통화 중 줌 링크로 전환하자고 요청했습니다.
"Gumicryptos 파트너와 Superstate의 한 사람이 말하는 것을 보는 순간, 뭔가 이상하다는 것을 깨달았습니다," 그는 트윗에서 말하며 다른 사람들에게 경고하기 위해 스크린샷을 공유했습니다.
최근 GTIG 보고서에 따르면, 북한 IT 근로자들은 이제 미국, 영국, 독일, 세르비아 전역의 팀에 개발자로 위장하여 가짜 이력서와 위조 문서를 사용해 침투하고 있습니다.
"북한 해커들은 우리 산업에 대한 끊임없이 성장하는 위협"이라고 샘쯔선은 썼으며, 기업들에게 기본적인 방어, 최소 권한 접근, 2단계 인증, 장치 분리, 그리고 침해 발생 시 SEAL 911과 같은 그룹에 연락할 것을 촉구했습니다.
