북한 라자루스 해커조직으로 의심되는 정교한 피싱 공격 포착
벤처 캐피탈(VC) 회사 Signum Capital 직원 사칭...투자자인 척 접근해 피싱 공격
2021년 Kava 블록체인 수석 부사장 Tammy Amini로 위장한 피싱 공격과 유사

[보안뉴스 김경애 기자] 북한 라자루스 해커조직으로 의심되는 정교한 피싱 공격이 포착됐다. 공격자는 블록체인과 엔젤 투자 커뮤니티에 초점을 맞춰 텔레그램 그룹의 개인, 특히 기업가들을 대상으로 정교한 피싱 공격을 진행 중인 것으로 드러났다.


[이미지=https://theorg.com/org/signum-capital/org-chart/ian-lee캡처]

공격자는 투자 회사의 대표로 가장해 사업 기회를 찾고 있다고 접근하며, 피해자에게 애플 스크립트를 다운로드하도록 유도했다.

이러한 가운데 지난 1월 22일 벤처 캐피탈(VC) 회사인 시그넘 캐피탈(Signum Capital)은 특정 개인이 텔레그램에서 자사 직원 중 한 명을 사칭하고 있다며 X에 게시했다. Signum Capital 측은 “공격자는 피해자와 협력할 잠재적인 프로젝트에 대해 논의하려고 하는 회사의 GP 또는 일반 파트너 행세를 하는 허위 텔레그램 프로필을 작성했다”고 밝혔다.

이는 전형적인 사회공학적 공격 기법으로, 공격자는 피해 기업가의 조직에 잠재적인 투자자인 척 함으로써 피해자와의 신뢰를 쌓기 위해 일상적인 대화에 참여한다. 다음으로, 공격자는 개인의 캘린더 링크를 요청해 통화를 예약할 수 있다.

위협 인텔리전스 플랫폼 Hunt.io의 Michael Rippey는 “공격자는 통화 당일 피해자에게 겉으로 보기에는 합법적인 회의 링크를 보낸다”며 “그러나 링크를 열려고 시도할 때 사용자는 통화에 참여하지 못하게 하는 ‘제한된’ 메시지를 받는다”고 분석했다. 특히 이번 공격 캠페인에서 모든 링크는 다운로드 된 후 삭제됐다.

공격자는 합법성을 유지하기 위해 혼란스러운 척 했고, 도움을 받기 위해 IT 관리자에게 연락한다고 설명했다. 공격자들이 제시한 ‘해결책’은 피해자의 접근 문제를 해결할 수 있다며 애플 스크립트를 다운로드 받도록 하는 것이었다. 그러나 해당 스크립트는 공격자가 피해자의 장치를 손상시키도록 설계됐다.

특히 이들의 공격 수법이 북한 해커조직인 라자루스와 유사한 것으로 분석됐다는 점이다. 이와 관련 Michael Rippey는 “블록체인과 투자 애호가들을 대상으로 진행 중인 해당 피싱 캠페인은 온라인에서 갑작스런 투자 기회에 대처할 때 특히 주의를 기울여야 한다”며 “라자루스 그룹의 개입은 아직 확인되지 않았지만, 이들이 수행하는 전술과 연관성이 있다”고 분석했다.


[이미지= https:crytorank.io/price/kava/team캡처]

하지만 문제는 투자 회사 대표를 사칭한 이들의 공격이 어제 오늘의 일이 아니라는 것이다. 그동안 수면 위로 드러나지 않았을 뿐 지난 2021년에도 이와 유사한 피싱 캠페인이 진행됐던 것으로 알려졌다.

이와 관련 이슈메이커스랩 최상명 대표는 “이슈메이커스랩에서 추적한 결과 사칭한 공격자는 지난 2021년에도 Kava 블록체인의 수석 부사장(재무부서 리딩)인 Tammy Amini로 위장해 텔레그램에서 유사한 피싱 공격을 펼쳤다”고 밝혔다.

이어 그는 “공격자는 블록체인 관련 업계의 주요 인사로 지속적으로 위장해서 공격을 펼치고 있어 향후에도 또 다른 기업의 인사로 위장해서 공격할 가능성이 있다”며 “2021년부터 텔레그램에서 다양하게 위장해 활동하고 있는 만큼 각별한 주의가 필요하다”고 당부했다.

또한 최상명 대표는 “합법적인 회사는 일반적으로 민감한 정보를 공유하거나 알려지지 않은 스크립트를 다운로드하도록 유도하지 않는다”며 “다중 요소 인증으로 텔레그램 계정을 보호하는 한편, 확인되지 않은 URL 또는 스크립트를 열거나 실행하지 말 것”을 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>