[보안뉴스 김경애 기자] 최근 북한 해커조직이 전 세계 IT 구직자를 대상으로 한 사이버 공격 정황이 포착됐다. IT 업체 고용주로 위장해 면접에서 코딩 과제를 빌미로 구직자에게 압축 파일을 다운로드 하도록 요구한 것. 그러나 이는 북한 해커 조직의 DEV#POPPER 공격 캠페인으로 구직자의 컴퓨터를 악성코드에 감염시켜 시스템을 장악한 것으로 드러났다.
[이미지=gettyimagesbank]
시큐로닉스(Securonix) 위협 연구팀은 “북한의 공격 캠페인 DEV#POPPER를 분석한 결과 북한 해커조직이 가짜 면접 진행 과정에서 구직자에게 코딩 과제를 위해 압축 파일(onlinestoreforhirog.zip)을 다운로드 하도록 요구했다”며 “구직자가 파일을 다운로드 및 실행하면 악성코드에 감염돼 정보가 탈취된다”고 밝혔다.
북한 해커조직은 압축 파일에 수십 개의 정상 파일을 포함시켜 백신 탐지를 우회하거나 잠재 위협 식별을 어렵게 했다. 뿐만 아니라 서버 연결을 위해 악성코드에 자바스크립트(JavaScript) 파일을 숨겨놓은 것으로 분석됐다.
악성코드는 원격 C&C 서버와 통신하고, 대상 시스템에서 명령을 실행해 파일을 업로드 및 다운로드하고, 키로깅 및 클립보드 추적을 통해 사용자 활동을 모니터링하도록 설계됐다. 바이러스토탈(VirusTotal)에서 해당 악성코드는 탐지율이 매우 낮은 것으로 평가됐다.
시큐로닉스 측은 “이번에 발견된 악성코드는 북한 해커조직과 연결된 새로운 멀웨어 변종으로, 강력한 기능을 갖춘 은밀한 악성코드를 실행하도록 하는 전술을 사용했다”며 “피해자들은 주로 한국, 북미, 유럽 및 중동 등 공격 범위가 광범위하게 퍼져 있다”며 출처가 불분명한 압축파일 다운로드에 대해 IT 분야 구직자들의 주의를 당부했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>