본문 바로가기
카테고리 없음

북한 해커, 새로운 백도어 '악두르티' 배포

by Daniel_Kevin 2025. 9. 27.
반응형

슬로바키아 사이버보안 회사 ESET의 최근 조사에 따르면, 북한 해커들은 AkdoorTea 라는 새로운 백도어를 이용해 피해자의 시스템에 침투하여 암호화폐와 Web3 개발자를 겨냥한 글로벌 캠페인을 강화하고 있습니다.

DeceptiveDevelopment 라는 이름으로 추적된 이 작전은 Contagious Interview, DEV#POPPER, Void Dokkaebi 로 알려진 캠페인과 겹칩니다.

 

공격자는 주로 LinkedIn, Upwork, Freelancer, Crypto Jobs List와 같은 구직 플랫폼에서 채용 담당자를 사칭하여 Windows, Linux, macOS 환경에서 소프트웨어 개발자를 표적으로 삼고, 악성 코드가 포함된 프로젝트를 다운로드하도록 유도합니다.

 

ESET 연구원 Peter Kálnai와 Mat?j Havránek은 목요일에 발표 한 보고서에서 "DeceptiveDevelopment의 툴셋은 대부분 멀티 플랫폼이며 Python과 JavaScript로 작성된 초기 난독화된 악성 스크립트, Python과 Go로 작성된 기본 백도어,.NET으로 작성된 다크 웹 프로젝트 로 구성되어 있습니다."라고 기술했습니다.

 

사기의 작동 방식

공격자는 가짜 구인 공고를 제시하는 채용 담당자를 사칭하여 표적의 관심을 유도합니다. 표적이 가짜 구인 공고에 관심을 보이면, 다음과 같은 과제를 완료하도록 지시받습니다.

 

코딩 과제 – 맬웨어를 비밀리에 설치하는 트로이 목마에 감염된 GitHub 프로젝트 복제.

 

300x250

 

비디오 평가 – 가짜 카메라 또는 마이크 오류를 표시하고 피해자에게 터미널 명령을 실행하도록 유도하는 가짜 인터뷰 사이트("ClickFix" 기술).

해커의 툴킷에는 정보를 훔치는 맬웨어가 포함되어 있습니다.

  • BeaverTail, InvisibleFerret, WeaselStore – 암호화폐 지갑, 키체인, 저장된 브라우저 로그인에서 데이터를 빼낼 수 있는 정보 도용 맬웨어입니다.
  • TsunamiKit – 지속성을 설정하고,.NET 스파이웨어를 배포하고, XMRig 및 NBMiner와 같은 암호화폐 마이너를 설치하는 다단계 툴킷입니다.
  • Tropidoor와 PostNapTea는 화면 캡처, 시스템 정찰, 파일 조작과 같은 기능을 갖춘 Lazarus 작전과 연결된 정교한 원격 액세스 트로이 목마입니다.
  • AkdoorTea – NVIDIA 드라이버 업데이트로 위장한 파일 내부에 숨겨진 최신 페이로드로, BeaverTail을 통해 실행한 후 원격 제어가 가능합니다.

 

하이브리드 위협 모델

ESET은 이 캠페인이 ' WageMole '로 알려진 북한의 비밀 IT 근로자 수법과 연관되어 있다고 지적합니다. 이 작전에서 근로자들은 도난당하거나 AI가 생성한 신원을 사용하여 원격 근무를 확보하고, 화상 면접 중에는 실시간 얼굴 바꾸기 도구를 사용하기도 합니다. 악성코드 캠페인을 통해 유출된 정보는 이러한 사기성 채용 수법을 더욱 효과적으로 만드는 데 재활용됩니다.

 

의미

ESET 연구원들은 DeceptiveDevelopment가 기술적 정교함보다는 창의적인 소셜 엔지니어링과 다크 웹 툴의 재사용에 더 많이 의존한다고 지적합니다.

 

"이 그룹은 기술적 정교함이 부족한 경우가 많음에도 불구하고, 규모와 창의적인 소셜 엔지니어링을 통해 약점을 보완합니다. 이들의 캠페인은 오픈소스 툴을 활용하고, 기존 다크웹 프로젝트를 재사용하며, 다른 북한 연계 단체에서 빌린 것으로 추정되는 악성코드를 변형하고, 가짜 구인 제안과 면접 플랫폼을 통해 인간의 취약점을 활용하는 등 실용적인 접근 방식을 보여줍니다."라고 ESET 연구원들은 덧붙였습니다.

 

북한 IT 노동자들의 활동은 복합적인 위협을 구성합니다. 이 사기 수법은 신원 도용 및 합성 신원 사기와 같은 고전적인 범죄 행위와 디지털 도구를 결합한 것으로, 전통적인 범죄이자 사이버 범죄(또는 전자 범죄)로 분류됩니다.

 

이중 위협: 악성 소프트웨어와 사기 채용

전문가들은 북한 해커들이 악성코드를 이용한 암호화폐 절도와 IT 인력 채용 사기를 결합하고 있다고 경고합니다. 이는 국가 지원 간첩 행위와 조직적 사이버 범죄의 경계가 모호함을 여실히 보여줍니다. 이는 개발자와 고용주 모두를 위험에 빠뜨리는 혼합형 위협을 야기합니다.

 

구직자는 시스템 손상의 위험이 있고, 기업은 자신도 모르게 제재를 받은 북한 요원을 고용하여 나중에 내부 위협이 될 위험이 있습니다. 이는 더 강력한 채용 검증과 더욱 철저한 사이버 보안 방어가 시급히 필요하다는 것을 보여줍니다.

*참고한 원본 글: https://www.techworm.net/2025/09/north-korean-hackers-deploy-new-akdoortea-backdoor.html

반응형
그리드형
저작자표시 비영리 변경금지 (새창열림)

댓글

티스토리툴바