북한 해커, RustDoor 악성코드로 LinkedIn에서 암호화폐 사용자 타깃

North Korean Hackers Target Cryptocurrency Users on LinkedIn with RustDoor Malware

• 개요

  • 북한의 해커 그룹이 LinkedIn을 통해 RustDoor라는 악성코드를 배포하여 암호화폐 사용자 및 금융 종사자를 대상으로 공격을 수행 중
  • Jamf Threat Labs에 따르면, 해커들은 STON.fi라는 합법적인 분산형 암호화폐 거래소 채용 담당자로 위장해 피해자에게 접근함
  • 이러한 공격은 인터뷰 또는 코딩 과제를 빙자하여, 피해자 네트워크에 침투하려는 사회 공학적 공격의 일환으로 이루어짐

• 공격 목표

  • 암호화폐 및 금융 부문이 주요 타깃으로, 이를 통해 불법 수익을 창출하거나 북한 정권의 정치적 목적을 달성하기 위한 공격
  • 사회 공학적 공격으로 피해자를 속여, 회사 소유 장치나 내부 네트워크에 접근할 수 있는 장치에서 악성코드를 실행하도록 유도

• 주요 공격 방법

  • 코딩 테스트 또는 디버깅 과제를 빙자하여 Visual Studio 프로젝트를 다운로드하게 한 뒤, 해당 프로젝트 내에 bash 명령을 숨겨 2차 페이로드를 배포
  • RustDoor라는 맬웨어가 포함된 이 페이로드는 피해자의 시스템에 백도어를 설치해 공격자에게 원격 접근 권한을 부여
  • macOS 백도어로서의 RustDoor는 2024년 2월에 Bitdefender에 의해 처음 발견되었으며, 이후 Windows용 변종인 GateDoor도 발견됨

• RustDoor 악성코드의 작동 방식

  • VisualStudioHelper와 zsh_env라는 2차 페이로드가 각각 cron과 zshrc 파일을 통해 지속적으로 실행되며, 피해자의 파일을 수집
  • VisualStudioHelper는 정보 탈취 기능을 포함하고 있으며, 피해자의 시스템 비밀번호를 요구하는 가짜 팝업을 통해 정보를 수집
  • 두 페이로드는 백도어로 작동하며, 각각 다른 C2 서버와 연결되어 공격자가 원격으로 명령을 전달받음

• 시사점

  • 북한의 사회 공학적 공격은 영어에 능통한 해커들이 피해자에 대해 철저히 연구한 뒤 접근하는 방식으로 이루어짐
  • 암호화폐 산업 종사자들은 소셜 미디어에서의 접근에 대해 신중을 기해야 하며, 의심스러운 소프트웨어 실행 요청에 주의할 필요가 있음
  • 조직은 개발자를 포함한 모든 직원을 대상으로 소셜 엔지니어링과 관련된 교육을 진행해야 함