해커들, 가짜 채용 공고와 숨겨진 악성 소프트웨어로 항공우주산업을 표적으로 삼아

최근에 “이란의 꿈의 직업” 캠페인이라는 사이버 캠페인이 항공우주, 항공, 방위 분야의 직원들을 표적으로 하여 매력적인 직업 제안을 약속하며 공격하고 있습니다.

사이버 보안 회사 ClearSky는 이 캠페인이 “Charming Kitten” (또는 APT35라고도 불림)이라는 이란 해킹 조직과 연결된 그룹의 작업이라고 밝혔습니다.

이 캠페인은 개인들을 속여 일 관련 자료로 위장된 악성 소프트웨어를 다운로드하게 함으로써 타겟이 된 회사들을 침투하고 민감한 정보를 도둑질하는 것을 목표로 하고 있습니다.

ClearSky는 “Dream Job” 사기가 LinkedIn 상의 가짜 채용 담당자 프로필을 사용하며, 종종 허위 회사를 이용해 피해자들을 악성 소프트웨어를 다운로드하도록 유도한다고 밝혔습니다. 이때 사용되는 악성 소프트웨어인 SnailResin은 피해자의 컴퓨터를 감염시켜 해커들이 기밀 데이터를 수집하고 네트워크 내 활동을 모니터링할 수 있게 합니다.

ClearSky는 이 해커들이 기법을 세련되게 발전시켰다고 주장합니다. 예를 들어, 진짜 클라우드 서비스인 Cloudflare와 GitHub를 사용하여 악성 링크를 숨기는 것으로, 감지를 어렵게 만드는 것입니다.

흥미롭게도 이란 해커들은 북한의 라자루스 그룹의 전략을 이용하고 있습니다. 이 그룹은 2020년에 “드림잡(Dream Job)” 사기를 선도하였습니다. 이란 해커들이 라자루스의 방식을 모방함으로써, 조사관들을 속이고 공격의 출처를 추적하는 것을 더 어렵게 만들었습니다.

클리어스카이는 이 공격이 DLL 사이드 로딩이라는 방법을 사용한다고 설명합니다. 이 방법은 악성 소프트웨어가 합법적인 소프트웨어 파일로 가장해 컴퓨터에 침투할 수 있게 해줍니다. 이 기술을 암호화된 파일과 복잡한 코딩의 사용과 결합하여, 해커들은 일반적인 보안 조치를 우회하는 데 도움이 됩니다.

클리어스카이에 따르면, 이 악성 소프트웨어는 많은 안티바이러스 프로그램들을 성공적으로 피하며, 단지 몇 가지 보안 도구만이 이를 식별할 수 있습니다. 2023년 9월 이후, 이란의 ‘드림잡’ 캠페인은 지속적으로 전략과 악성 소프트웨어를 업데이트하며, 클리어스카이의 말에 따르면, 사이버 보안 방어를 항상 한 발 앞서 갔습니다.

맨디언트를 포함한 주요 사이버 보안 회사들이 이 활동을 여러 국가, 특히 중동에서 감지했다고 클리어스카이가 지적했습니다. 그들은 이 캠페인의 끈기와 정교함을 강조하며, 이 캠페인의 구조가 자주 바뀌기 때문에 대상 산업에게 지속적인 위협이 된다고 지적했습니다.

클리어스카이는 항공우주, 국방 등의 고위험 분야에서 활동하는 조직들이 경계를 늦추지 않고 이러한 종류의 공격에 대비한 적극적인 조치를 취해야 한다고 경고했습니다.

피싱과 가짜 채용 공고의 위험에 대해 직원들을 교육하고 강력한 보안 프로토콜을 구현함으로써, 기업들은 이러한 매우 교묘한 사이버 위협에 대한 취약성을 줄일 수 있습니다.