북한 APT 그룹, 가짜 채용 코딩 테스트로 개발자 대상 악성코드 유포

북한 위협 행위자, 채용 프로세스 악용해 악성코드 유포

보안 연구진들은 북한의 지능형 지속 위협(APT) 그룹이 기업 채용 담당자로 위장해 소프트웨어 개발자를 대상으로 악성코드가 포함된 코딩 테스트를 유포하는 정교한 공격 캠페인을 발견했습니다. 이 공격은 ReversingLabs의 보고를 통해 처음 알려졌으며, 사이버 첩보 및 공급망 공격 전술의 진화를 보여줍니다.

공격의 주요 세부 사항

• 위협 행위자: 북한 국가 지원 해킹 그룹(예: Lazarus Group 또는 관련 조직).
• 표적: 소프트웨어 개발자, 특히 암호화폐 및 블록체인 분야 종사자.
• 공격 방법: 가짜 채용 메시지에 악성 코딩 테스트를 기술 평가로 위장해 포함.
• 페이로드: 제공된 코드 실행 시 악성코드 설치로 원격 접근, 데이터 유출, 또는 추가적인 내부 이동(lateral movement) 가능.

기술적 분석

이 공격은 위협 행위자가 LinkedIn이나 이메일을 통해 합법적인 채용 담당자로 위장하고 고액 연봉의 채용 기회를 제안하는 것으로 시작됩니다. 피해자는 GitHub나 GitLab과 같은 플랫폼에 호스팅된 코딩 테스트를 완료하도록 유도되며, 제공된 코드에는 난독화된 악성코드(일반적으로 백도어나 원격 접근 트로이목마(RAT))가 포함되어 있습니다.

ReversingLabs의 분석에 따르면, 이 악성코드는 다음과 같은 기법을 활용할 수 있습니다:

• **Living-off-the-land binaries(LOLBins)**를 이용해 탐지 회피.
• Python이나 PowerShell과 같은 스크립트에 인코딩된 페이로드 포함.
• 예약 작업(scheduled tasks)이나 레지스트리 수정과 같은 지속성(persistence) 메커니즘 사용.

특정 CVE ID는 공개되지 않았지만, 이 공격은 개발자를 표적으로 소프트웨어 공급망을 침해하려는 북한의 과거 공격(예: 2020년 SolarWinds식 공격)과 유사합니다.

영향 및 동기

이 캠페인의 주요 목적은 다음과 같을 가능성이 높습니다:

• 사이버 첩보: 지적 재산이나 민감한 프로젝트 데이터 유출.
• 공급망 침해: 개발자 시스템 감염을 통해 추후 합법적인 소프트웨어 업데이트를 통해 악성코드 배포.
• 금전적 절도: 암호화폐 개발자를 대상으로 절도나 자금 세탁을 용이하게 함.

금융 기술(fintech)이나 블록체인과 같은 고부가가치 분야의 개발자는 특히 위험에 노출되어 있습니다. 이들의 시스템은 종종 독점 코드베이스나 운영 환경에 접근 권한을 가지고 있기 때문입니다.

대응 및 권고 사항

보안 팀과 개발자는 다음 조치를 취해야 합니다:

1. 채용 담당자 검증: 공식 회사 채널을 통해 채용 담당자의 신원을 교차 확인한 후 소통.
2. 코딩 테스트 격리: 신뢰할 수 없는 코드는 샌드박스 환경(예: Docker 컨테이너, 가상 머신)에서 실행.
3. 이상 징후 모니터링: 엔드포인트 탐지 및 대응(EDR) 도구를 배포해 의심스러운 프로세스 실행 식별.
4. 팀 교육: 개발자를 대상으로 채용 관련 소셜 엔지니어링 위험에 대한 교육 실시.
5. 최소 권한 원칙 적용: 악성코드 영향 최소화를 위해 로컬 관리자 권한 제한.

자세한 내용은 ReversingLabs 보고서와 BleepingComputer의 보도를 참고하세요.