북한 IT노동자, WageMole·Contagious Interview 가짜 이력서 캠페인으로 서방국 취업
북한 해커, 데이터 탈취 금융 제재 우회하는 과정에서 진화하는 전술 보여
정교한 난독화 기술, 다중 플랫폼 호환성 등 통해 광범위한 데이터 도용
[보안뉴스 김경애 기자] 최근 북한 IT노동자가 외화벌이 수단 및 정보탈취 목적으로 해외에서 취업활동을 하는 것으로 드러났다. 가짜 이력서를 활용하고, 면접에선 Skype를 활용한 이른바 ‘WageMole’ 캠페인이 포착되는가 하면, 최근에는 금융 제재를 우회하는 과정에서 진화하는 전술을 보여주는 ‘Contagious Interview’ 캠페인이 포착됐다. 그들의 가짜 이력서를 활용한 주요 취업 활동 사례는 다음과 같다.
▲높은 수준의 WageMole·Contagious Interview 가짜 이력서 캠페인 화면[이미지=지스케일러]
1. 북한 IT노동자, JS 프레임워크에서 8년간 근무로 위장
안녕하세요. 저는 MEAN/MEVN/MERN과 같은 JS 프레임워크에서 8년간 근무한 수석 Vue 및 Laravel 개발자입니다. 저는 Vue, API 통합, 플러그인 커스터마이징, 버그 수정을 전문으로 하고 있는데요. 단기간에 완벽한 프로젝트를 시작할 준비가 되어 있습니다. 저는 항상 최고의 결과를 위해 노력하고 필요할 때 창의적인 아이디어를 제공하는 귀하의 프로젝트를 중요하게 생각하고 있습니다.
2. 북한 IT노동자, 웹 개발자 경력 위장
저는 디테일에 예리한 안목을 가진 뛰어난 웹 개발자로서 귀하의 프로젝트는 제 기술에 딱 맞습니다. 일관성있는 톤을 유지하면서 기존 텍스트를 작업하고 조정할 수 있는 능력은 제 경력 내내 꾸준히 해온 일입니다. HTML 및 CSS에 대한 저의 전문성과 세심한 그래픽 디자인 기술은 조정이 완료된 후에도 웹사이트가 세련되고 전문적인 외관을 유지할 수 있도록 보장합니다.
3. 북한 IT노동자, 수석 풀 스택 개발자로 위장
안녕하세요, 고객님. 안녕하세요? 귀하의 채용 공고를 주의 깊게 읽었고 기대가 큽니다. 저는 수석 풀 스택 개발자로서 소프트웨어 개발 분야에서 7년 이상의 경험을 보유하고 있습니다. 특히 리액트, 노드.js, 리액트 네이티브는 저의 강력한 기술입니다. 저는 이 직업이 저에게 매우 적합하다고 확신합니다. 더 자세한 내용은 대화를 통해 논의할 수 있습니다.
▲악의적인 NPM 패키지를 제공해 Contagious Interview 캠페인에 감염시키는 가짜 구인화면[이미지=지스케일러]
북한 IT노동자들의 대부분의 템플릿은 영어로 작성되어 있다. 하지만, ‘WageMole’ 캠페인에 가담한 행위자는 일본어 버전도 만들었다. 일본 내 취업 기회에 대한 잠재적 관심이 포착된 것이다. 필요한 경우 ‘WageMole’ 캠페인 행위자는 자동화 스크립트를 사용해 Upwork와 같은 구직 플랫폼에 계정을 만든다. 또 다른 예로, 캠페인 행위자는 미국에 거주하는 누군가에게 업워크 계정과 컴퓨터에 액세스할 수 있는 1,000달러를 제안했다.
북한 IT노동자, 고용주와 대화할 때 Skype 사용
북한 IT노동자들을 추적, 분석한 지스케일러 ThreatLabz의 박성수 수석보안연구원은 “‘WageMole’ 캠페인 행위자는 면접 과정에서 잠재적 고용주와 대화할 때 Skype를 사용한다”며 “Skype는 미국 번호와 통화 전달을 포함한 지역 전화번호를 제공하므로 원격 근무자는 고용주를 속일 수 있다. 대기업은 신원 조회가 더 엄격한 경우가 많기 때문에 ‘WageMole’ 캠페인 행위자는 일반적으로 중소기업을 표적으로 삼는다”고 밝혔다.
특히 ‘WageMole’ 캠페인 행위자는 면접 질문에 답할 수 있는 기술이 부족할 때 도움을 줄 수 있는 전문성을 갖춘 동료에게 의존하는 경우가 많다는 것. 고용기간 동안 ‘WageMole’ 캠페인 행위자는 코드와 솔루션을 공유해 행위자 그룹 내의 다른 사람들과 협력한다는 게 그의 설명이다.
또한 ‘WageMole’ 캠페인 행위자는 채용 프로세스를 준비하고 과제를 완료하기 위해 깃허브(Git Hub)를 사용한다. 아래에 표시된 코드 경로를 통해 그들이 제공하는 서비스를 유추할 수 있다.
▲캠페인에 감염된 운영 체제 배포[이미지=지스케일러]
정교한 난독화 기술, 다중 플랫폼 호환성, 광범위한 데이터 도용
ThreatLabz에 따르면 두 달 동안 Contagious Interview 캠페인으로 인해 피해를 입은 140명 이상의 피해자를 확인했다고 밝혔다. 특히, 피해자의 절반 이상이 Windows 컴퓨터를 사용한 반면, 나머지 절반은 Linux 및 macOS를 포함한 비 Windows 시스템을 사용했다. 이는 해당 캠페인이 자바스크립트 및 파이썬과 같은 OS 독립 스크립트를 활용해 여러 플랫폼을 성공적으로 침해했음을 나타낸다.
▲가짜 LinkedIn WageMole 캠페인의 프로필[이미지=지스케일러]
박성수 수석보안연구원은 “Contagious Interview 캠페인과 WageMole 캠페인은 북한 해커조직이 계속해서 데이터를 훔치고, 서방 국가에 원격 일자리를 확보, 금융 제재를 우회하는 과정에서 진화하는 전술을 보여준다”며 “정교한 난독화 기술, 다중 플랫폼 호환성, 광범위한 데이터 도용을 통해 기업과 개인 모두에게 점점 더 위협이 되고 있다”고 분석했다.
Contagious Interview 캠페인 위협으로부터 보호하는 방법에 대해 그는 “타협 지표(IOC) 섹션에서 제공한 지표와 관련된 실행 또는 연결을 검토하고 모니터링하며, 로그인 자격증명이나 암호화폐 키와 같은 민감한 정보는 일반 텍스트로 저장하지 말아야 한다”며 “여권, 신분증 및 기타 민감한 세부 정보를 포함한 개인 정보를 저장하지 말 것”을 당부했다. 또한 알 수 없는 사람이 접촉한 경우 주의를 기울이고, 가상 환경에서 항상 의심스러운 파일을 실행해야 한다고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
북한 해커, 데이터 탈취 금융 제재 우회하는 과정에서 진화하는 전술 보여
정교한 난독화 기술, 다중 플랫폼 호환성 등 통해 광범위한 데이터 도용
[보안뉴스 김경애 기자] 최근 북한 IT노동자가 외화벌이 수단 및 정보탈취 목적으로 해외에서 취업활동을 하는 것으로 드러났다. 가짜 이력서를 활용하고, 면접에선 Skype를 활용한 이른바 ‘WageMole’ 캠페인이 포착되는가 하면, 최근에는 금융 제재를 우회하는 과정에서 진화하는 전술을 보여주는 ‘Contagious Interview’ 캠페인이 포착됐다. 그들의 가짜 이력서를 활용한 주요 취업 활동 사례는 다음과 같다.
▲높은 수준의 WageMole·Contagious Interview 가짜 이력서 캠페인 화면[이미지=지스케일러]
1. 북한 IT노동자, JS 프레임워크에서 8년간 근무로 위장
안녕하세요. 저는 MEAN/MEVN/MERN과 같은 JS 프레임워크에서 8년간 근무한 수석 Vue 및 Laravel 개발자입니다. 저는 Vue, API 통합, 플러그인 커스터마이징, 버그 수정을 전문으로 하고 있는데요. 단기간에 완벽한 프로젝트를 시작할 준비가 되어 있습니다. 저는 항상 최고의 결과를 위해 노력하고 필요할 때 창의적인 아이디어를 제공하는 귀하의 프로젝트를 중요하게 생각하고 있습니다.
2. 북한 IT노동자, 웹 개발자 경력 위장
저는 디테일에 예리한 안목을 가진 뛰어난 웹 개발자로서 귀하의 프로젝트는 제 기술에 딱 맞습니다. 일관성있는 톤을 유지하면서 기존 텍스트를 작업하고 조정할 수 있는 능력은 제 경력 내내 꾸준히 해온 일입니다. HTML 및 CSS에 대한 저의 전문성과 세심한 그래픽 디자인 기술은 조정이 완료된 후에도 웹사이트가 세련되고 전문적인 외관을 유지할 수 있도록 보장합니다.
3. 북한 IT노동자, 수석 풀 스택 개발자로 위장
안녕하세요, 고객님. 안녕하세요? 귀하의 채용 공고를 주의 깊게 읽었고 기대가 큽니다. 저는 수석 풀 스택 개발자로서 소프트웨어 개발 분야에서 7년 이상의 경험을 보유하고 있습니다. 특히 리액트, 노드.js, 리액트 네이티브는 저의 강력한 기술입니다. 저는 이 직업이 저에게 매우 적합하다고 확신합니다. 더 자세한 내용은 대화를 통해 논의할 수 있습니다.
▲악의적인 NPM 패키지를 제공해 Contagious Interview 캠페인에 감염시키는 가짜 구인화면[이미지=지스케일러]
북한 IT노동자들의 대부분의 템플릿은 영어로 작성되어 있다. 하지만, ‘WageMole’ 캠페인에 가담한 행위자는 일본어 버전도 만들었다. 일본 내 취업 기회에 대한 잠재적 관심이 포착된 것이다. 필요한 경우 ‘WageMole’ 캠페인 행위자는 자동화 스크립트를 사용해 Upwork와 같은 구직 플랫폼에 계정을 만든다. 또 다른 예로, 캠페인 행위자는 미국에 거주하는 누군가에게 업워크 계정과 컴퓨터에 액세스할 수 있는 1,000달러를 제안했다.
북한 IT노동자, 고용주와 대화할 때 Skype 사용
북한 IT노동자들을 추적, 분석한 지스케일러 ThreatLabz의 박성수 수석보안연구원은 “‘WageMole’ 캠페인 행위자는 면접 과정에서 잠재적 고용주와 대화할 때 Skype를 사용한다”며 “Skype는 미국 번호와 통화 전달을 포함한 지역 전화번호를 제공하므로 원격 근무자는 고용주를 속일 수 있다. 대기업은 신원 조회가 더 엄격한 경우가 많기 때문에 ‘WageMole’ 캠페인 행위자는 일반적으로 중소기업을 표적으로 삼는다”고 밝혔다.
특히 ‘WageMole’ 캠페인 행위자는 면접 질문에 답할 수 있는 기술이 부족할 때 도움을 줄 수 있는 전문성을 갖춘 동료에게 의존하는 경우가 많다는 것. 고용기간 동안 ‘WageMole’ 캠페인 행위자는 코드와 솔루션을 공유해 행위자 그룹 내의 다른 사람들과 협력한다는 게 그의 설명이다.
또한 ‘WageMole’ 캠페인 행위자는 채용 프로세스를 준비하고 과제를 완료하기 위해 깃허브(Git Hub)를 사용한다. 아래에 표시된 코드 경로를 통해 그들이 제공하는 서비스를 유추할 수 있다.
▲캠페인에 감염된 운영 체제 배포[이미지=지스케일러]
정교한 난독화 기술, 다중 플랫폼 호환성, 광범위한 데이터 도용
ThreatLabz에 따르면 두 달 동안 Contagious Interview 캠페인으로 인해 피해를 입은 140명 이상의 피해자를 확인했다고 밝혔다. 특히, 피해자의 절반 이상이 Windows 컴퓨터를 사용한 반면, 나머지 절반은 Linux 및 macOS를 포함한 비 Windows 시스템을 사용했다. 이는 해당 캠페인이 자바스크립트 및 파이썬과 같은 OS 독립 스크립트를 활용해 여러 플랫폼을 성공적으로 침해했음을 나타낸다.
▲가짜 LinkedIn WageMole 캠페인의 프로필[이미지=지스케일러]
박성수 수석보안연구원은 “Contagious Interview 캠페인과 WageMole 캠페인은 북한 해커조직이 계속해서 데이터를 훔치고, 서방 국가에 원격 일자리를 확보, 금융 제재를 우회하는 과정에서 진화하는 전술을 보여준다”며 “정교한 난독화 기술, 다중 플랫폼 호환성, 광범위한 데이터 도용을 통해 기업과 개인 모두에게 점점 더 위협이 되고 있다”고 분석했다.
Contagious Interview 캠페인 위협으로부터 보호하는 방법에 대해 그는 “타협 지표(IOC) 섹션에서 제공한 지표와 관련된 실행 또는 연결을 검토하고 모니터링하며, 로그인 자격증명이나 암호화폐 키와 같은 민감한 정보는 일반 텍스트로 저장하지 말아야 한다”며 “여권, 신분증 및 기타 민감한 세부 정보를 포함한 개인 정보를 저장하지 말 것”을 당부했다. 또한 알 수 없는 사람이 접촉한 경우 주의를 기울이고, 가상 환경에서 항상 의심스러운 파일을 실행해야 한다고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
