최근 사이버 보안 동향, 북한 및 중국 해킹 그룹의 활동과 신종 멀웨어 위협 (2025.02.24)

[월드시큐 황.당.사] 프리랜서 개발자 노리는 북한 해커들 外

[월드시큐 황.당.사] 프리랜서 개발자 노리는 북한 해커들 外

 

• 1. 북한 해킹 캠페인 '컨태져스인터뷰' (Contagious Interview)
  • 목표 대상: 프리랜서 개발자
  • 공격 방법
    • 구인 사이트(Upwork, Freelancer.com, WeWorkRemotely)에서 일자리 제공을 미끼로 접촉
    • 비버테일(BeaverTail), 인비저블퍼렛(InvisibleFerret) 등의 정보 탈취형 멀웨어 삽입
    • 기존에 활용하던 깃허브(GitHub), 깃랩(GitLab)에서 활동 범위를 넓혀 구직 플랫폼까지 공격 확장
  • 보안 업체 이셋(ESET)의 경고: 프리랜서들은 구인·구직 플랫폼에서 제공되는 파일 및 메시지에 주의 필요
• 2. 중국 해킹 그룹 '설트타이푼(Salt Typhoon)'의 새로운 공격 도구 '점블드패스(JumbledPath)'
  • 주요 기능
    • 네트워크 트래픽 감시
    • 특정 정보 외부 유출
  • 최근 공격 사례
    • 미국 대형 통신사를 대상으로 통신망 내 개인 및 그룹 모니터링 진행
    • 시스코(Cisco) 네트워크 장비 1000대 이상 침해
• 3. EU 의료계 겨냥한 새로운 랜섬웨어 '나일라오락커(NailaoLocker)'
  • 사용된 추가 멀웨어
    • 셰도우패드(ShadowPad)
    • 플러그엑스(PlugX)
  • 공격 방식
    • 체크포인트 시큐리티 게이트웨이(Checkpoint Security Gateway)의 제로데이 취약점 (CVE-2024-24919)을 악용
  • 배후 의심 세력: 중국 APT 조직
• 4. 일반 공격에서도 등장한 중국 APT 전용 도구
  • 공격 사례
    • 라워드(RA Word) 랜섬웨어 캠페인에서 플러그엑스(PlugX) 사용
  • 시사점
    • 고급 APT 공격 도구가 일반 사이버 공격자에게까지 확산
    • 혹은 APT 공격자가 수사 및 추적을 혼란시키기 위해 공격 전략을 섞은 가능성 존재
• 5. 중국 검열 기능을 제거한 'R1 1776' AI 모델 공개
  • 개발사: 퍼플렉시티(Perplexity)
  • 주요 특징
    • 기존 딥시크 R1의 중국식 검열 기능을 제거
    • 더 정확하고 편향성 없는 정보 제공
  • 활용 가능성: 오픈소스로 제공되어 자유로운 보안 연구 및 분석 가능
• 6. 구글 애드(Google Ads)를 악용한 멀버타이징(Malvertising)
  • 공격 방법
    • 가짜 광고를 통해 크롬 설치파일과 섹톱랫(SecTopRAT) 멀웨어를 함께 다운로드
    • 섹톱랫은 원격 트로이목마(RAT)로, 정보 탈취 기능 보유
    • 과거에도 노션(Notion), 그래멀리(Grammarly) 설치파일과 함께 악성코드 배포 사례 존재
  • 주의 사항
    • 광고를 통한 소프트웨어 다운로드 시 출처 확인 필수
    • 알 수 없는 출처의 프로그램 실행 금지
• 7. 악명 높은 멀웨어 '북웜(Bookworm)'의 재등장
  • 배후 조직: 스테이틀리토러스(Stately Taurus)
  • 주요 특징
    • DLL 사이드로딩 기법을 사용
    • 주로 윈도 시스템을 감염
    • 주 피해 지역: 아세안(ASEAN) 국가들
    • 모듈 구성으로 여러 형태의 변형 가능, 2015년 이후 큰 변화 없이 지속적인 위협 유지
• 보안 권고
  • 프리랜서 개발자 및 일반 사용자 모두 의심스러운 파일 및 메시지 주의 필요
  • 기업은 모의 해킹 및 취약점 진단을 통해 보안 강화
  • 멀버타이징과 같은 광고 기반 공격에 대비해 광고 네트워크 및 트래픽 감시 강화
  • APT 공격을 대비해 이중 인증(MFA) 및 보안 로그 분석 강화
  • 정부 및 보안 업체는 신규 멀웨어 샘플 수집 및 분석을 통해 위협 인텔리전스(TI) 데이터베이스 업데이트 필요