기존 파이썬 스크립트 기반 ‘인비저블페럿’, 컴파일된 파일 형태로 변형... 탐지 우회
가짜 구인 인터뷰로 접근, 소프트웨어 개발자 브라우저 인증 정보 및 지갑 인출
[보안뉴스 김형근 기자] 인공지능(AI)과 암호화폐 기업의 소프트웨어 개발자를 노린 북한의 가상자산 탈취 공세가 한층 정교해졌다.
▲인비저블페럿의 감염 경로 [출처:트렌드 마이크로]
트렌드마이크로 분석에 따르면, 북한 연계 해킹 조직 ‘보이드 도깨비’(Void Dokkaebi)가 기존 파이썬 스크립트 기반 악성코드인 ‘인비저블페럿’(InvisibleFerret)을 컴파일된 바이너리 파일 형태로 업그레이드해 공격을 전개하는 것으로 확인됐다.
이 조직은 페이머스 천리마(Famous Chollima)라고도 불리며. 암호화폐 지갑과 서명키, CI/CD 파이프라인 및 프로덕션 인프라 접근 권한을 보유한 개발자를 주로 겨냥하는 것으로 알려졌다.
인비저블페럿은 윈도우 환경에서 ‘.pyd’ 파일로 유포되며 맥(macOS)에서는 ‘.so’ 파일 형태로 위장한다. 공격자들은 파이썬 코드를 네이티브 바이너리로 변환하는 ‘사이톤(Cython)’ 도구를 활용해 기존 스크립트 기반 보안 솔루션의 탐지 규칙을 우회하는 전략을 취한 것으로 분석됐다.
이들은 AI·암호화폐 기업 채용 담당자를 사칭해 가짜 구인 면접을 진행하며 개발자들이 악성코드가 포함된 저장소를 실행하도록 유도했다. 악성코드에 감염된 시스템은 백도어 권한이 활성화되며 브라우저 인증 정보와 클립보드 데이터, 키보드 입력 기록 등을 탈취당하고, 최종적으로 암호화폐 지갑 자산까지 공격 당한다.
트렌드마이크로 분석 결과, 인비저블페럿은 데이터 연결 담당 ‘mod’, 백도어 구동 ‘pad’, 인증 정보 탈취 ‘brw’, 가짜 지갑 확장 프로그램 이식 및 크롬 보안 강등 ‘mc’ 등 4개 모듈로 구동된다. 아울러 동반 다운로더인 ‘비버테일’(BeaverTail) 역시 파일 경로 등 민감 데이터에 4바이트 키 기반 XOR 암호화를 적용하는 등 복합 위협 형태로 진화했다.
트렌드마이크로 분석가들은 기업 보안팀이 단순 스크립트 스캔 위주의 방어 수칙에서 벗어나 확장 모듈과 런타임 실행 스크립트까지 면밀히 추적하는 바이너리 인지형 접근 방식으로 전환해야 한다고 권고했다.
[김형근 기자(editor@boannews.com)]
가짜 구인 인터뷰로 접근, 소프트웨어 개발자 브라우저 인증 정보 및 지갑 인출
[보안뉴스 김형근 기자] 인공지능(AI)과 암호화폐 기업의 소프트웨어 개발자를 노린 북한의 가상자산 탈취 공세가 한층 정교해졌다.
▲인비저블페럿의 감염 경로 [출처:트렌드 마이크로]
트렌드마이크로 분석에 따르면, 북한 연계 해킹 조직 ‘보이드 도깨비’(Void Dokkaebi)가 기존 파이썬 스크립트 기반 악성코드인 ‘인비저블페럿’(InvisibleFerret)을 컴파일된 바이너리 파일 형태로 업그레이드해 공격을 전개하는 것으로 확인됐다.
이 조직은 페이머스 천리마(Famous Chollima)라고도 불리며. 암호화폐 지갑과 서명키, CI/CD 파이프라인 및 프로덕션 인프라 접근 권한을 보유한 개발자를 주로 겨냥하는 것으로 알려졌다.
인비저블페럿은 윈도우 환경에서 ‘.pyd’ 파일로 유포되며 맥(macOS)에서는 ‘.so’ 파일 형태로 위장한다. 공격자들은 파이썬 코드를 네이티브 바이너리로 변환하는 ‘사이톤(Cython)’ 도구를 활용해 기존 스크립트 기반 보안 솔루션의 탐지 규칙을 우회하는 전략을 취한 것으로 분석됐다.
이들은 AI·암호화폐 기업 채용 담당자를 사칭해 가짜 구인 면접을 진행하며 개발자들이 악성코드가 포함된 저장소를 실행하도록 유도했다. 악성코드에 감염된 시스템은 백도어 권한이 활성화되며 브라우저 인증 정보와 클립보드 데이터, 키보드 입력 기록 등을 탈취당하고, 최종적으로 암호화폐 지갑 자산까지 공격 당한다.
트렌드마이크로 분석 결과, 인비저블페럿은 데이터 연결 담당 ‘mod’, 백도어 구동 ‘pad’, 인증 정보 탈취 ‘brw’, 가짜 지갑 확장 프로그램 이식 및 크롬 보안 강등 ‘mc’ 등 4개 모듈로 구동된다. 아울러 동반 다운로더인 ‘비버테일’(BeaverTail) 역시 파일 경로 등 민감 데이터에 4바이트 키 기반 XOR 암호화를 적용하는 등 복합 위협 형태로 진화했다.
트렌드마이크로 분석가들은 기업 보안팀이 단순 스크립트 스캔 위주의 방어 수칙에서 벗어나 확장 모듈과 런타임 실행 스크립트까지 면밀히 추적하는 바이너리 인지형 접근 방식으로 전환해야 한다고 권고했다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
