북한, 가짜 취업 면접 진행하며 소프트웨어 개발자들 노려 외 2건

요약	- 북한 해커들이 헤드헌트, 구직자로 위장해 멀웨어 유포 - 국정원과 영국 국가사이버안보센터는 북한 SW 공급망 해킹 위협 공동 경고
내용	- 북한 해커의 위장 취업 활동 두 가지가 Palo Alto Networks에 의해 발견 ① Contagious Interview > 가짜 면접을 진행하며 각종 멀웨어를 퍼트리는 게 주 목적 > 암호화폐를 훔치고 손상된 대상을 추가 공격을 위한 준비 환경으로 사용 > Github 저장소와 위조된 신원을 사용해 구직 활동 ※ Windows, Linux, macOS에서 동작하는 두가지 악성코드가 포함 ⒜ BeaverTail: JavaScript로 작성된 백도어(InvisibleFerret) 로더 ⒝ InvisibleFerret: 웹 브라우저와 암호화폐 지갑의 민감 정보 탈취, 키로깅, 원격 제어 등의 기능을 가진 백도어 ② Wagemole > 금전적 이득과 스파이 활동 > 스스로가 원격 근무자가 되어 기업에 위장 취업 > 회사 시스템에 잠입하여 암호화폐를 채굴하거나 중요 정보를 캐내는 것을 목적 - 23.11.23 국정원은 영국 국가사이버안보센터와 합동으로 '사이버보안 권고문' 발표 > 북한 해킹조직이 인기있는 공급망 제품을 대상으로 한 해킹 수법을 확인하고, 피해 예방을 위한 보안 강화 당부 > MagicLine4NX, 3CX 공급망 공격 사례를 언급하며 공격 방법과 침해지표를 공유 ※ MagicLine4NX : 워터링홀 공격으로 기관 인터넷 PC 우선 점거 후 시스템 취약점을 악용해 내부망 접근 및 자료 탈취 ※ 3CX : 3CX 개발과정에 침투해 설치 프로그램에 악성코드를 은닉 및 공식 웹 사이트를 통해 유포
기타	- 관련 Github 계정은 빈번한 업데이트 및 여러 활동으로 합법적 계정과 구분 불가 > 소프트웨어 개발자는 공급망 공격의 가장 약한 연결고리인 경우가 많음 > 따라서, 관련된 공격 행위가 지속될 것 - 23.11.22 한국-영국 간 '사이버분야 파트너십' 채결 > 파트너십 체결 직후 조치된 첫 번째 결과물 > 영국은 파이브아이즈 이외 국가와 체결한 첫번째 파트너십 > 국정원은 2월 미 NSA, 3월 독일 헌법보호청, 6월 미국 국무부에 이은 4번째 합동 권고문 발표 > 최근 국가배후 해킹조직의 공격은 어느 한 나라에 국한해 발생하는 것이 아님 > 따라서, 국제적 공조가 필수적

 

보안뉴스

North Korean Hackers Pose as Job Recruiters and Seekers in Malware Campaigns

북한, 가짜 취업 면접 진행하며 소프트웨어 개발자들 노려

한·영 사이버안보기관, 북한 소프트웨어 공급망 해킹 위협 공동 경고

NIS 국가정보원

국가사이버안보센터