북한에 기반을 둔 사이버 범죄 조직인 Lazarus 해킹 그룹은 LinkedIn 광고를 사용하여 암호화폐 사용자를 표적으로 삼고 있습니다.
최근 보도에 따르면 이 그룹은 암호화폐 관련 채용공고를 게재해 블록체인 광고가 실행되면 피해자의 기기에서 악성 매크로 코드가 실행됩니다.
LinkedIn을 통해 공격하는 Lazarus 해킹 그룹
사이버보안업체 에프시큐어(F-Secure)의 보고서에 따르면 라자루스의 이번 공격은 홈페이지 내 암호화폐 관련 광고를 통해 이뤄졌다. 보고서에 따르면 블록체인에서 일하는 한 개인은 합법적인 블록체인 구인 목록을 모방한 광고에 "BlockVerify Group Job Description"이라는 제목의 Microsoft Word 문서가 포함되어 있는 것으로 나타났습니다.
문서에는 사용자가 Word 문서와 상호 작용할 때 실행되는 악성 코드가 포함되어 있습니다.
악성 코드
F-Secure는 제목, 작성자, 단어 수가 동일한 문서가 이미 VirusTotal에 사이버 보안 위협으로 등록되어 있음을 발견했습니다. VirusTotal 통계에 따르면 이 코드는 2019년에 처음 보고되었으며 37개의 개별 바이러스 백신 엔진에서 감지되었습니다.
이 코드는 장치에 저장된 로그인 dent 증명을 훔치고 시스템 네트워크에 대한 액세스를 모색합니다. 이런 방식으로 코드는 사용자의 암호화폐를 훔칠 만큼 충분한 데이터를 확보할 때까지 장치 전체에 퍼집니다.
북한의 전술
F-Secure는 또한 Lazarus 해킹 그룹의 행동이 북한 정부의 이익과 일치한다고 밝혔습니다. 조선민주주의인민공화국( DPRK )은 블록체인 생태계 외부에 있는 기업과 조직을 표적으로 삼을 가능성이 높습니다. 보고서 에 따르면 북한은 중국, 인도, 러시아 등 여러 나라에 걸쳐 6000명의 해커로 구성된 군대를 보유하고 있다.