북한 해커 조직 UNC1069가 AI로 생성된 영상과 ClickFix 기법을 활용해 macOS와 Windows 시스템에 악성코드를 배포하는 맞춤형 공격을 진행하고 있습니다. 이들은 주로 암호화폐 및 핀테크 기업을 표적으로 삼으며, Google의 Mandiant 연구팀은 한 핀테크 기업에 대한 공격에서 7종의 macOS 악성코드 패밀리를 발견하고 해당 공격을 UNC1069의 소행으로 추정하였습니다.
공격은 소셜 엔지니어링을 기반으로 진행되었으며, 해커는 암호화폐 기업 임원의 Telegram 계정을 탈취해 피해자에게 접근했습니다. 이후 Calendly 링크를 통해 가짜 Zoom 회의 페이지로 유도하고, CEO의 딥페이크 영상을 보여주며 오디오 문제를 빌미로 피해자에게 특정 명령어 실행을 유도했습니다. 이 과정에서 Windows와 macOS 모두를 겨냥한 감염 체인이 시작되었으며, 유사한 공격 방식이 BlueNoroff(일명 Sapphire Sleet, TA44) 그룹에 의해서도 보고된 바 있습니다.
Mandiant는 WAVESHAPER, HYPERCALL, HIDDENCALL, SILENCELIFT, DEEPBREATH, SUGARLOADER, CHROMEPUSH 등 다양한 악성코드가 동원된 점을 확인했습니다. 이 중 SUGARLOADER와 WAVESHAPER가 가장 많이 탐지되었으며, SILENCELIFT, DEEPBREATH, CHROMEPUSH는 새로운 도구로 평가됩니다. 공격자는 피해자의 데이터를 최대한 수집해 암호화폐 탈취와 향후 추가 사회공학 공격에 활용하는 것으로 분석됩니다. UNC1069는 2018년부터 지속적으로 공격 기법을 진화시키며, 최근에는 Web3, 금융 서비스, 암호화폐 산업 전반으로 표적을 확대하고 있습니다.
요약
- 북한 해커 조직 UNC1069가 AI 영상과 ClickFix 기법을 활용해 암호화폐 업계를 공격하고 있다.
- 공격은 소셜 엔지니어링과 딥페이크 영상을 이용해 피해자를 속이고 악성코드를 설치하는 방식이다.
- 7종의 macOS 악성코드가 동원되었으며, 일부는 새롭게 개발된 도구로 확인되었다.
- 공격 목적은 암호화폐 탈취와 추가 사회공학 공격을 위한 데이터 수집이다.
- UNC1069는 2018년 이후 지속적으로 공격 기법과 표적을 진화시키고 있다.
Reference
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.