북한 해커들이 가짜 LinkedIn 채용 공고를 이용해

오늘 해커 뉴스에서 보도된 바에 따르면, 북한의 위협 요인들이 가짜 채용 모집 계획을 통해 개발자들을 대상으로 LinkedIn을 사용하고 있다는 사실이 밝혀졌습니다. 공격자들은 구글이 소유한 Mandiant의 보고서에서 강조한 것처럼, 피해자들을 감염시키기 위한 초기 방법으로 코딩 테스트를 활용하고 있습니다.

북한의 채용 테마 기반의 계획들은 가짜 비디오 회의 앱을 포함한 악성 소프트웨어를 전달하는 데 널리 사용되어 왔습니다. LinkedIn과 Upwork 같은 플랫폼에서 직업을 찾는 사람들을 대상으로하고 있습니다. 초기 접촉을 한 후, 해커들은 텔레그램과 같은 메시징 앱을 통해 피해자들이 악성 소프트웨어를 다운로드하도록 유도합니다.

Mandiant의 연구원들은 최근의 암호화폐 거래소 절도가 사회공학적으로 더 폭넓게 연결되어 있다고 설명했습니다. 이러한 계획에서 개발자들은 취업 제안의 가장으로 연락을 받습니다.

그들은 엔지니어에게 파이썬 코딩 챌린지로 위장된 악성코드가 포함된 ZIP 파일을 보내고, 이로 인해 사용자의 macOS 시스템에 이차 악성코드로 침해당하는 예시를 보여줍니다. 이 악성코드는 macOS의 실행 에이전트를 통해 지속되어 사용자의 시스템을 더욱 위험에 처하게 만들었습니다.

이러한 전략은 개발자에게만 국한되지 않습니다. 금융 전문가들도 표적이 되었습니다. 또 다른 사건에서, Mandiant는 암호화폐 거래소의 고위 직책에 대한 가짜 채용 제안의 일환으로 보내진 악의적인 PDF를 관찰하였습니다.

해당 PDF는 시스템 데이터를 수집하고 파일을 실행하는 백도어 맬웨어인 RUSTBUCKET을 설치했습니다. 이는 “사파리 업데이트”로 가장하여 활성화 상태를 유지하고, 명령 및 제어 서버에 연결하였습니다.

FBI에 따르면, 이러한 유형의 사이버 공격들은 신중하게 계획되어 집니다. 해커들은 개인 정보를 사용하고 피해자들과의 친분을 형성하여 그들의 계획을 더 설득력 있게 만듭니다. 일단 접촉이 성립되면, 공격자들은 신뢰를 형성하기 위해 대상들과 상당한 시간을 소비할 수 있습니다.

이러한 위험을 완화하기 위해, FBI는 다양한 플랫폼을 통해 접촉자의 신원을 확인하고, 인터넷에 연결된 기기에 암호화폐 지갑 정보를 저장하지 않으며, 사전 채용 테스트에 가상 머신을 사용하는 것을 제안합니다. 또한, 무단 다운로드를 차단하고 민감한 정보에 대한 접근을 제한하는 것을 권장합니다.

만약 회사가 표적이 된 것으로 의심된다면, FBI는 인터넷에서 영향을 받는 장치를 분리하고, FBI의 인터넷 범죄 신고 센터에 상세한 불만을 제출하는 것을 권장합니다.