LinkedIn 채용 담당자를 사칭하는 이란 해커

이란 해커들은 적어도 2023년 9월부터 악의적인 “꿈의 직업” 제안으로 항공우주 직원을 표적으로 삼아 왔습니다. 이스라엘 사이버 보안 회사인 ClearSky가 “이란의 꿈의 직업”이라고 명명한 이 캠페인은 LinkedIn에서 채용 담당자를 사칭하여 항공우주 산업 종사자를 위태롭게 하는 것을 목표로 합니다. 공격자는 LinkedIn을 통해 목표물에 접근한 후 가짜 채용 웹사이트에서 파일을 다운로드하도록 지시합니다.

SignedConnection 애플리케이션으로 위장한 다운로드된 ZIP 파일에는 악성 코드와 감염을 보장하기 위해 수행할 작업을 대상에게 안내하는 관련 PDF 지침 파일이 포함되어 있습니다. ZIP 파일에는 합법적인 여러 파일과 SignedConnection.exe라는 악성 실행 파일이 포함되어 있습니다. 실행되면 악성 DLL 파일이 사이드로드되어 명령 및 제어(C2) 서버에 대한 연결이 설정됩니다.

궁극적인 목표는 위협 행위자가 손상된 장치에 마음대로 액세스할 수 있도록 허용하는 SlugResin 백도어를 배포하고 활성화하는 것입니다. “TA455는 본질적으로 신뢰와 전문적인 연결을 기반으로 구축된 플랫폼인 LinkedIn을 활용하여 신뢰도를 얻고 의심을 불러일으키는 것을 방지하려고 합니다. 조작된 회사와 관련된 가짜 채용 담당자 프로필을 사용하면 사기가 더욱 강화되고 피해자가 악성 링크 및 첨부 파일에 참여할 가능성이 높아집니다.”라고 ClearSky 연구원은 지적했습니다.

해커의 표적이 된 항공우주 직원

“Dream Job” 캠페인은 새로운 것이 아닙니다. 북한의 정부 지원을 받는 해커들은 수년 동안 유사한 전술을 사용하는 것으로 알려져 왔습니다.

이란의 위협 행위자들도 이 방법을 채택했습니다. 사용된 공격 인프라로 인해 이 최신 캠페인은 정부 및 군사 부문을 표적으로 삼는 것으로 알려진 이란 APT 그룹인 Charming Kitten의 하위 그룹인 TA455의 소행인 것으로 나타났습니다. “TA455는 의도적으로 다른 위협 행위자, 특히 북한 Lazarus 그룹의 전술과 도구를 모방하여 조사관을 오도하려고 시도합니다.

여기에는 유사한 ‘Dream Job’ 미끼, 공격 기술, 심지어 DLL 사이드 로딩 공격에서 Lazarus가 사용하는 것과 중복되는 맬웨어 파일까지 활용하는 것이 포함됩니다. 이러한 고의적인 잘못된 귀인은 혼란을 야기하고 정확한 귀인 노력을 방해하는 것을 목표로 합니다.”라고 연구원은 설명했습니다. 북한이 같은 목적을 염두에 두고 이란과 의도적으로 공격 방법과 도구를 공유했을 가능성도 있다고 덧붙였다.

항공우주 직원과 고부가가치 산업에 종사하는 사람들은 LinkedIn과 같은 플랫폼에서 피싱 시도와 의심스러운 채용 제안을 경계해야 합니다. 신뢰할 수 있는 보안 조치를 활용하고 최신 사이버 보안 동향에 대한 최신 정보를 얻으면 이러한 정교한 위협을 방어하는 데 도움이 될 수 있습니다.