암호화폐 투자 스타트업을 겨냥한 위협 행위자가 확인됐다고 마이크로소프트가 보고했다.
6일 코인텔레그래프와 마이크로소프트 등 다수 외신에 따르면 마이크로소프트와 사이버 보안 회사인 볼렉시티는 새로운 버전의 애플저스(AppleJeus) 악성코드를 추적해 로닌 해킹과 다른 수많은 온라인 탈취 사건의 배후에 있는 해커들을 추적했다.
마이크로소프트는 이날 블로그 게시물을 통해 "우리는 위협 행위자가 페이로드를 배치하기 전에 목표물의 신뢰를 얻기 위한 조치를 취하면서 엄청난 지식과 준비를 보여주는 보다 복잡한 공격을 보고 있다"고 설명했다.
또 "OKX 직원들의 가짜 프로필로 자신을 위장한 위협 행위자는 'VIP 고객과 암호화폐 거래소 플랫폼 간의 의사소통을 용이하게 하기 위해 사용되는' 텔레그램 그룹에 가입했다"고 알렸다.
암호화폐 시장을 대상으로 하는 공격은 사기, 취약성 악용, 가짜 애플리케이션, 정보 도용자 사용 등 다양한 형태를 취한다. 공격자는 암호화폐 자금을 손에 넣기 위해 이러한 시도를 했다.
마이크로소프트는 최근 DEV-0139로 추적되는 공격자가 텔레그램 채팅 그룹을 이용해 암호화폐 투자 회사를 표적으로 삼은 공격을 조사했다.
DEV-0139는 VIP 고객과 암호화폐 거래소 플랫폼 간의 커뮤니케이션을 용이하게 하는 데 사용되는 텔레그램 그룹에 가입하고 회원 중에서 대상을 식별했다. 위협 행위자는 다른 암호화폐 투자 회사의 대표로 가장했으며 2022년 10월 대상을 다른 채팅 그룹에 초대하고 암호화폐 거래소 플랫폼에서 사용하는 수수료 구조에 대한 피드백을 요청하는 척했다.
이 문서는 정확한 정보와 암호화폐 거래 현실에 대한 높은 인식을 제공했지만 보이지 않게 악성 .dll(Dynamic Link Library) 파일을 사이드로 로드해 사용자 시스템으로 백도어를 만들었다. 그런 다음 대상은 수수료에 대한 논의 과정에서 .dll 파일을 직접 열도록 요청받았다.
이러한 공격 기술 자체는 오래 전부터 알려져 왔다. 마이크로소프트는 이 위협 행위자가 지난 6월 비슷한 목적으로 .dll 파일을 사용해 발견된 것과 동일하며 다른 사건들의 배후일 것이라고 지적했다.
마이크로소프트에 따르면 DEV-0139는 사이버보안업체 볼렉시티가 북한의 국영 라자루스 그룹과 연계한 것과 동일한 행위자로, 애플저스로 알려진 변종 악성코드와 MSI(마이크로소프트 설치 프로그램)를 사용했다.
미국 연방 사이버 보안 및 인프라 보안국은 2021년 애플저스를 문서화했고, 카스퍼스키 랩스는 2020년에 이를 보고했다.
미 재무부가 라자루스그룹을 북핵과 공식 연결했다.
김성은 글로벌이코노믹 기자 jade.kim@g-enews.com