북한과 연계된 해커들이 인공지능으로 생성된 딥페이크를 포함한 실시간 화상 통화를 계속 이용하여 암호화폐 개발자와 종사자들이 자신의 기기에 악성 소프트웨어를 설치하도록 유도하고 있습니다.
비트코인(BTC) 프라하 공동 설립자인 마틴 쿠하르가 공개한 최근 사례에 따르면, 공격자들은 해킹된 텔레그램 계정과 조작된 화상 통화를 이용하여 줌 오디오 수정 기능으로 위장한 악성 소프트웨어를 유포했다고 그는 밝혔습니다.
쿠차르는 목요일 X에서 "고위급 해킹 캠페인이 비트코인 및 암호화폐 사용자를 표적으로 삼는 것으로 보인다"고 밝혔습니다 .
쿠차르의 설명에 따르면, 공격자들은 피해자에게 연락하여 줌이나 팀즈 통화를 요청합니다. 통화 중에 공격자들은 AI로 생성된 영상을 사용하여 피해자가 아는 사람인 것처럼 가장합니다.
그들은 오디오 문제가 있다고 주장하며 피해자에게 문제를 해결하기 위해 플러그인이나 파일을 설치하라고 요구합니다. 설치가 완료되면 악성 프로그램은 공격자에게 시스템에 대한 완전한 접근 권한을 부여하여 비트코인을 훔치고, 텔레그램 계정을 탈취하고, 이를 이용해 다른 사람들을 공격할 수 있게 합니다.
인공지능(AI) 기반 사칭 사기로 인해 암호화폐 관련 손실액이 2025년까지 사상 최고치인 170억 달러 에 달할 것으로 예상되는 가운데, 블록체인 분석 업체 체이나리시스의 데이터에 따르면 공격자들은 피해자를 속이고 자금에 접근하기 위해 딥페이크 영상, 음성 복제, 가짜 신분 등을 점점 더 많이 사용하고 있습니다.
쿠차르가 설명한 공격 방식은 사이버 보안 회사인 헌트리스가 작년 7월에 처음으로 보고한 기법과 매우 유사합니다 . 헌트리스는 이 공격자들이 텔레그램에서 처음 접촉한 후, 가짜 줌 도메인에 호스팅된 가짜 회의 링크(Chainlink) 사용하여 암호화폐 관련 종사자를 조작된 줌 통화로 유인한다고 보고한 바 있습니다.
공격자들은 통화 중에 오디오 문제가 있다고 주장하며 피해자에게 Zoom 관련 해결 방법처럼 보이는 파일을 설치하라고 지시하는데, 실제로는 macOS를 여러 단계로 감염시키는 악성 AppleScript라고 Huntress는 설명합니다.
스크립트가 실행되면 셸 기록이 비활성화되고, Apple Silicon 기기에서 Rosetta 2(변환 계층)가 설치되어 있는지 확인하거나 설치하고, 관리자 권한을 얻기 위해 사용자에게 시스템 암호를 반복적으로 입력하라는 메시지가 표시됩니다.
연구 결과에 따르면 악성코드 체인은 영구적인 백도어, 키로깅 및 클립보드 도구, 암호화폐 지갑 탈취 도구 등 여러 페이로드를 설치하는데, 이는 쿠차르가 월요일에 자신의 텔레그램 계정이 해킹당했고 이후 다른 사람들을 같은 방식으로 공격하는 데 사용되었다고 밝혔을 때 언급한 것과 유사한 공격 방식입니다.
보안 연구기관 헌트레스는 이번 침입이 북한과 연계된 고도 지속적 위협(APT)인 TA444(BlueNoroff 등 여러 별칭으로 알려짐)의 소행일 가능성이 매우 높다고 밝혔습니다. 이 AP는 2017년부터 암호화폐 절도를 목적으로 활동해 온 국가 지원 그룹으로 , '라자루스 그룹'이라는 포괄적인 명칭 아래 운영되고 있습니다 .
블록체인 보안 회사 슬로우미스트의 최고 정보 보안 책임자인 샨 장은 디크립트(Decrypt) 와의 인터뷰에서 이러한 캠페인의 운영 목표와 상관관계가 있는지에 대한 질문에 대해 쿠차르에 대한 최근 공격이 라자루스 그룹의 더 광범위한 캠페인과 "연관될 가능성이 있다"고 답했습니다.
"캠페인 전반에 걸쳐 재사용되는 부분이 분명히 있습니다. 특정 지갑을 대상으로 하고 매우 유사한 설치 스크립트를 사용하는 사례가 일관되게 나타납니다."라고 탈중앙화 AI 컴퓨팅 네트워크인 곤카(Gonka)의 공동 창립자 데이비드 리버만은 디크립트 (디크립트(Decrypt) 에 말했습니다 .
리버만은 이미지와 비디오는 더 이상 신뢰할 수 있는 진위 증명으로 간주될 수 없다고 말하며, 디지털 콘텐츠는 "제작자가 암호화 방식으로 서명해야 하며, 이러한 서명에는 다단계 인증이 요구되어야 한다"고 덧붙였다.
그는 이러한 공격이 "익숙한 사회적 패턴에 의존한다"는 점을 고려할 때, 이러한 맥락에서 내러티브는 "추적하고 탐지해야 할 중요한 신호"가 되었다고 말했다.
북한의 라자루스 그룹은 암호화폐 기업 , 종사자 및 개발자를 대상으로 맞춤형 악성 소프트웨어와 정교한 사회공학적 기법을 사용하여 디지털 자산과 접근 자격 증명을 탈취하는 공격 캠페인과 연관되어 있습니다.
