Lazarus Group Targets Web3 Developers with Fake LinkedIn Profiles in Operation 99
- 공격 개요
- 북한 연계 Lazarus Group이 Web3 및 암호화폐 개발자를 대상으로 한 새로운 캠페인 Operation 99 수행
- 가짜 LinkedIn 프로필과 GitLab 저장소를 활용한 복잡한 피싱 및 악성코드 배포
- 주요 목표: 개발 환경의 민감 데이터(소스 코드, 암호화폐 지갑 키 등) 탈취
- 공격 방식
- 채용 미끼
- 가짜 채용 담당자가 LinkedIn에서 개발자들에게 접근, 프로젝트 테스트 및 코드 리뷰 요청
- 개발자를 악성 GitLab 저장소로 유도하여 코드 복제 및 실행 유도
- 악성코드 배포 및 동작
- GitLab 저장소의 악성 코드가 C2 서버에 연결, 악성코드 다운로드 및 실행
- 주요 페이로드
- Payload99/73: 시스템 데이터(파일, 클립보드) 수집, 웹 브라우저 프로세스 종료, 임의 코드 실행
- Brow99/73: 웹 브라우저에서 데이터(자격 증명 등) 탈취
- MCLIP: 키보드 및 클립보드 활동 모니터링 및 실시간 데이터 유출
- 채용 미끼
- 피해 범위
- 전 세계적으로 피해자가 발생했으며, 이탈리아에서 가장 높은 피해 기록
- 다른 피해 지역: 아르헨티나, 브라질, 이집트, 프랑스, 독일, 인도, 인도네시아, 멕시코, 파키스탄, 필리핀, 영국, 미국
- 특징 및 목표
- AI 기반으로 생성된 가짜 프로필과 현실감 있는 의사소통 방식 활용
- 개발자 계정 침해를 통해 소스 코드, 암호화폐 지갑, 비밀 키 등을 탈취, 금전적 이득 도모
- 멀웨어는 Windows, macOS, Linux 운영 체제를 지원하는 모듈형 설계로 높은 적응성과 유연성 보유
- Lazarus Group의 전략 및 영향
- Lazarus Group은 지속적으로 암호화폐 탈취를 통해 북한 정권의 재정 목표를 지원
- Web3와 암호화폐 산업의 성장에 따라 이러한 고성장 분야를 주요 타겟으로 설정
- 결론
- 채용 사기와 GitLab 저장소 악용을 통해 Lazarus Group은 새로운 형태의 고도화된 사이버 공격을 전개
- Web3 및 암호화폐 개발자는 링크드인 프로필 검증, GitLab 저장소의 신뢰성 확인 등 보안 관행을 강화해야 함
- 기업은 다단계 인증(MFA), 네트워크 모니터링, 악성코드 탐지 시스템을 통해 공격 완화를 시도해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Google Ads 사용자를 노리는 악성 광고 캠페인: 자격 증명 및 2FA 코드 탈취 (1) | 2025.01.25 |
|---|---|
| Black Basta 스타일 사이버 공격: 90분 만에 1,165개의 악성 이메일 전송 (1) | 2025.01.25 |
| ShadowSyndicate: RansomHub 랜섬웨어 추가와 공격 확산 (0) | 2025.01.25 |
| 정부24 개인정보 노출 사고 (0) | 2025.01.25 |
| 호텔 직원 개인정보 유출 사건 (0) | 2025.01.25 |