북한 해커들은 에너지와 항공우주를 목표로 삼고 있다.

북한 해커들은 MISTPEN이라는 새로운 악성코드를 사용해 에너지 및 항공우주 산업 종사자들을 표적으로 삼아 왔습니다. Mandiant가 UNC2970으로 추적하는 이 그룹은 Lazarus Group 및 북한의 주요 정보 기관인 정찰 총국과 연결되어 있습니다. UNC2970은 유명 기업의 채용 담당자로 가장하여 피해자를 표적으로 삼습니다.

그들은 중요한 정보에 접근하기 위해 고위급 직원과 관리자급 직원에 초점을 맞춰 대상 프로필에 맞게 합법적인 채용 공고를 수정합니다. 공격자는 작업 설명으로 위장한 악성 ZIP 아카이브를 보내기 전에 이메일과 WhatsApp을 통해 피해자와 소통하여 신뢰를 구축합니다. 아카이브에 있는 PDF 파일은 합법적인 PDF 리더 애플리케이션인 Sumatra PDF의 트로이 목마 버전에서만 열 수 있습니다.

이는 시스템 재부팅 후 MISTPEN 백도어를 삭제하고 실행하는 BURNBOOK이라는 악성 DLL 파일의 실행을 유발합니다. MISTPEN은 명령 및 제어 서버에서 파일을 다운로드하고 실행할 수 있는 Notepad++ 플러그인의 트로이 목마 버전입니다.

북한 해커들이 채용공고를 악용하고 있다

Mandiant는 오래된 BURNBOOK 및 MISTPEN 아티팩트를 발견했는데, 이는 해당 악성코드가 기능을 추가하고 탐지를 회피하기 위해 반복적으로 개선되고 있음을 나타냅니다. 위협 행위자는 분석을 방해하기 위해 새로운 기능을 구현하고 네트워크 연결 검사를 추가함으로써 시간이 지남에 따라 악성 코드를 강화했습니다. VMConnect라는 관련 캠페인에서 Lazarus Group은 특히 Python 개발 커뮤니티를 표적으로 삼아 고용 기회를 이용하여 고용주의 장치를 맬웨어로 감염시켜 왔습니다.

그들은 인기 있는 오픈 소스 Python 도구를 복제하여 악성 코드에 감염시켰으며, 최근에는 코딩 테스트를 사용하여 사용자를 속여 Base64 인코딩을 사용하여 숨겨진 악성 코드를 설치하도록 했습니다. 전문가들은 고용주와 개발자에게 코딩 테스트 및 오픈 소스 도구, 특히 Python 개발과 관련된 도구를 처리할 때 주의를 기울일 것을 권고합니다. 이러한 맬웨어 공격이 성공하지 못하도록 하려면 지속적인 경계와 적절한 사이버 보안 조치가 필수적입니다.

북한 사이버 간첩 그룹은 특히 김정은이 국가의 군사 및 산업 자산을 현대화하겠다고 발표한 이후 공격을 강화했습니다. 조직은 이러한 위협이 계속 진화함에 따라 자산과 정보를 보호하기 위해 경계심을 늦추지 않고 강력한 보안 조치를 시행해야 합니다.