북한 정부 해커들이 가짜 줌 회의를 이용해 암호화폐 기업들을 공격하고 있다
북한 정부 소속 해커들이 가짜 줌 회의를 비롯한 여러 사기 행위와 함께 다양한 악성 소프트웨어를 이용해 암호화폐 기업들을 공격하고 있습니다.
북한과 연계된 것으로 알려진 위협 행위자 UNC1069는 암호화폐 분야를 표적으로 삼아 윈도우 및 macOS 시스템에서 민감한 데이터를 탈취하고 궁극적으로 금융 사기를 조장하는 것으로 관찰되었습니다.
UNC1069는 2018년 4월부터 활동 중인 것으로 평가되었습니다. 이 그룹은 가짜 회의 초대를 보내고 유명 기업의 투자자를 사칭하는 등 금전적 이득을 목적으로 사회공학적 수법을 사용해 온 이력이 있습니다.
가짜 줌 화상 통화가 암호화폐 기업에 악성코드 공격을 가했습니다
구글 맨디언트 연구원들은 최신 보고서에서 암호화폐 업계의 핀테크 기업을 대상으로 한 침입 사건에 대한 조사 결과를 자세히 발표했습니다. 조사관들에 따르면, 이 침입은 암호화폐 업계 임원의 텔레그램 계정이 해킹당하면서 시작된 것으로 보입니다.
공격자들은 탈취한 프로필을 이용해 피해자에게 접근했습니다. 그들은 점차 신뢰를 쌓은 후 캘린들리(Calendly)를 통해 화상 회의 초대를 보냈습니다. 회의 링크는 공격자들이 장악한 인프라에 호스팅된 가짜 줌(Zoom) 도메인으로 연결되었습니다.
통화 중 피해자는 다른 암호화폐 회사 CEO의 딥페이크로 보이는 영상을 봤다고 신고했습니다.
이번 특정 사례에서 AI 모델 사용을 dent 할 수 있는 법의학적 증거를 확보하지 못했지만 dent , 해당 사건에서도 딥페이크가 사용된 것으로 알려졌습니다."라고 보고서는 밝혔습니다 .
공격자들은 회의 중 오디오 문제가 발생한 것처럼 꾸며 다음 단계로 넘어갈 명분을 만들었습니다. 그들은 피해자에게 기기에서 문제 해결 명령어를 실행하도록 지시했습니다. macOS와 Windows 시스템 모두에 맞춰 제작된 이 명령어들은 은밀하게 감염 과정을 시작하게 했습니다. 결과적으로 여러 악성코드 구성 요소가 활성화되었습니다.
Mandiant는 이번 공격에 사용된 악성 소프트웨어 유형을 7가지로 분류dent. 해당 도구들은 키체인에 접근하여 비밀번호를 탈취하고, 브라우저 쿠키와 로그인 정보를 수집하고, 텔레그램 세션 정보에 접근하고, 기타 개인 파일을 획득하도록 설계되었습니다.
조사관들은 그 목적이 두 가지라고 판단했습니다. 하나는 잠재적인 암호화폐 탈취를 가능하게 하는 것이고, 다른 하나는 향후 사회공학적 공격에 사용될 수 있는 데이터를 수집하는 것이었습니다. 조사 결과, 단일 호스트에 비정상적으로 많은 양의 도구가 배포된 것으로 드러났습니다.
AI와 연계된 사기 집단은 운영 효율성이 더 높은 것으로 나타났습니다
이번dent 더 광범위한 범죄 패턴의 일부입니다. 북한과 연계된 범죄자들이 사기성 줌(Zoom) 및 마이크로소프트 팀즈(Microsoft Teams) 회의를 통해 업계의 신뢰할 만한 인물로 가장하여 3억 달러 이상을 빼돌렸습니다.
한 해 동안의 활동 규모는 더욱 놀라웠습니다. Cryptopolitan 의 보도 , 북한의 위협 단체들은 2025년에 20억 2천만 달러 상당의 디지털 자산을 탈취했는데, 이는 전년 대비 51% 증가한 수치입니다.
체인애널리시스는 또한 밝혀냈습니다 . 이 회사는 이러한 추세가 AI가 대부분의 사기 행각에서 표준 구성 요소가 되는 미래를 시사한다고 분석했습니다.
지난해 11월 발표된 구글 위협 인텔리전스 그룹(GTIG) 보고서에서 해당 공격자는 제미니(Gemini)와 같은 인공지능(AI) 생성 도구를 사용하고 있다고 지적했습니다. 이들은 이러한 도구를 이용해 유인 자료 및 기타 암호화폐 관련 메시지를 생성하고, 이를 통해 사회공학적 공격 캠페인을 지원하고 있습니다.
적어도 2023년부터 이 그룹은 스피어 피싱 기법과 전통 금융(TradFi)을 대상으로 하는 공격에서 벗어나 중앙 집중식 거래소(CEX), 금융 기관의 소프트웨어 개발자, 첨단 기술 기업, 벤처 캐피털 펀드의 개인 등 웹3 산업을 대상으로 공격 대상을 전환했습니다.
Google.
이 그룹은 제미니(Gemini)를 악용하여 암호화폐 자산을 훔치는 코드를 개발하려는 시도도 한 것으로 확인되었습니다. 또한, 암호화폐 업계 종사자를 사칭한 딥페이크 이미지와 동영상을 이용해 BIGMACHO라는 백도어를 줌(Zoom) 소프트웨어 개발 키트(SDK)로 위장하여 피해자들에게 배포하는 수법을 사용하고 있습니다.
암호화폐 업계 최고 전문가들에게 당신의 프로젝트를 알리고 싶으신가요? 데이터와 영향력이 만나는 저희 차기 산업 보고서에 당신의 프로젝트를 소개하세요.
