북한 해커들이 암호화폐 탈취 작전을 용이하게 하기 위해 블록체인 기반 기법인 이더히딩(EtherHiding)을 이용해 악성코드를 유포하고 있다. 전문가들에 따르면, 북한 해커 한 명이 이 기법을 사용하는 것이 포착되었는데, 공격자들은 블록체인 기반 스마트trac내부에 자바스크립트 페이로드와 같은 코드를 삽입한다.
이 방법을 사용하면 해커들은 분산 원장을 강력한 명령 및 제어(C2) 시스템으로 전환할 수 있습니다. 구글 위협 인텔리전스 그룹(GTIG)의 블로그 게시물에 따르면, 이 정도 규모의 공격자가 이 방법을 사용하는 것을 관찰한 것은 이번이 처음입니다. GTIG는 EtherHiding을 사용하면 기존의 차단 및 제재 조치에 효과적으로 대응할 수 있다고 주장했습니다. 또한 GTIG는 2025년 2월부터 UNC5342라는 위협 행위자를 trac해 왔으며, 이들이 진행 중인 소셜 엔지니어링 캠페인에 EtherHiding을 통합하고 있다고 언급했습니다.
북한 해커들이 이더하이딩(EtherHiding)을 이용하고 있다
구글은 습니다 이더히딩(EtherHiding) 사용이 팔로알토네트웍스(Palo Alto Networks)가 추적한 '전염성 인터뷰(Contagious Interview)'라는 소셜 엔지니어링 캠페인과 연관되어 있다고 trac. 이 '전염성 인터뷰'는 북한 해커들이 실행한 것으로 알려졌습니다. 소켓(Socket) 연구원들에 따르면, 해당 그룹은 'XORIndex'라는 새로운 멀웨어 로더를 이용해 활동 범위를 확장했습니다. 이 로더는 수천 건의 다운로드를 기록했으며, 공격 대상은 구직자나 디지털 자산 또는 민감한 개인 정보를 보유한 것으로 추정되는 사람들dent.
이번 공격에서 북한 해커들은 JADESNOW 악성코드를 이용해 수많은 암호화폐 탈취에 사용된 INVISIBLEFERRET의 자바스크립트 변종을 유포합니다. 공격 대상은 암호화폐 및 기술 업계 개발자들로, 민감한 데이터와 디지털 자산을 탈취하고 기업 네트워크에 접근하는 것을 목표로 합니다. 또한, 가짜 채용 담당자와 허위 회사를 이용해 합법적인 채용 절차를 모방하는 사회공학적 수법을 사용합니다.
가짜 채용 담당자를 이용해 텔레그램이나 디스코드 같은 플랫폼으로 지원자들을 유인한 후, 기술 평가나 면접 대비 자료로 위장한 가짜 코딩 테스트나 소프트웨어 다운로드를 통해 악성코드를 시스템과 기기에 침투시킵니다. 이 공격 방식은 JADESNOW, INVISIBLEFERRET, BEAVERTAIL과 같은 악성코드를 이용한 다단계 감염 과정을 통해 피해자의 기기를 감염시킵니다. 이러한 악성코드는 Windows, Linux, macOS 시스템을 공격합니다.
연구원들은 EtherHiding의 단점을 자세히 설명합니다
GTIG는 EtherHiding이 공격자에게 상당한 이점을 제공하며, 특히 대응하기 어려운 위협이라고 지적합니다. EtherHiding의 핵심적인 문제점 중 하나는 탈중앙화 구조라는 점입니다. 즉, 허가 없이 접근 가능한 탈중앙화 블록체인에 저장되므로 중앙 서버가 없어 사법기관이나 사이버 보안 업체가 차단하기 어렵습니다.denttractrac tractractractrac tractrac의 익명성 때문에 블록 .
블록체인에 배포된 스마트trac에서 악성 코드를 제거하는 것은trac소유자가 아닌 경우 매우 어렵습니다. 이 경우 북한 해커처럼 스마트 계약을 장악한 공격자는 언제든지 악성trac로드를 업데이트할 수 있습니다. 보안 연구원들이 악성trac에 태그를 달아 커뮤니티에 경고할 수는 있지만, 해커들이 스마트trac을 이용해 악의적인 활동을 펼치는 것을 막을 수는 없습니다.
또한 공격자는 블록체인에 가시적인 거래 기록을 남기지 않는 읽기 전용 호출을 사용하여 악성 페이로드를 가져올 수 있으므로 연구자들이 블록체인 상에서 공격자의 활동을 trac하기 어렵습니다. 위협 연구 보고서에 따르면 EtherHiding은 블록체인 기술의 가장 두드러진 특징들이 사기꾼들에 의해 악용되는 "차세대 방탄 호스팅으로의 전환"을 나타냅니다.
