카스퍼스키, AI 활용한 ‘블루노로프’ 해킹그룹 공격 포착

By곽중희

카스퍼스키(한국지사장 이효은)는 해킹 그룹 ‘블루노로프(BlueNoroff)’의 최신 지능형 지속 위협(APT) 활동을 포착했다고 4일 밝혔다.

카스퍼스키 글로벌 연구 분석팀(GReAT)은 블루노로프가 라자루스(Lazarus) 그룹의 하위 조직으로, 암호화폐 산업을 겨냥한 금전 탈취형 공격 ‘스내치크립토(SnatchCrypto)’ 활동을 확장하고 있다고 분석했다. 이번에 포착된 캠페인 ‘고스트콜(GhostCall)’과 ‘고스트하이어(GhostHire)’는 블록체인 개발자와 임원진을 표적으로 삼아 윈도우와 맥OS 시스템에 침투하는 맞춤형 악성코드와 새로운 침투 기법을 사용한다.

공격자는 텔레그램 등을 통해 접근해 벤처캐피털 투자자나 채용 담당자로 위장하는 식으로 신뢰를 얻은 뒤 피싱 사이트나 악성 링크로 유도한다. 피해자가 안내대로 파일이나 업데이트를 실행하면 악성 스크립트가 내려가며 멀웨어가 설치된다. 조사 결과 공격자는 총 7단계의 멀티 스테이지 실행 체인을 사용했으며 이 중 4개는 이전에 보고되지 않은 새로운 형태로 확인됐다.

고스트콜 캠페인은 주로 맥OS 기기를 겨냥했다. 공격자는 영상 통화 장면을 위조해 실제 화상회의처럼 연출하고 피해자의 신뢰를 얻은 뒤 ‘오디오 문제 해결 업데이트’ 등을 이유로 악성 스크립트 실행을 유도했다. 고스트하이어는 채용 제안을 가장해 깃허브 저장소나 압축 파일을 통해 기술 테스트 형태의 페이로드를 전달하는 방식으로 전개됐다. 두 캠페인은 공통 명령제어 인프라를 공유하는 것으로 나타났다.

카스퍼스키는 블루노로프가 생성형 인공지능(AI) 도구를 활용해 악성코드 개발 속도와 정교함을 높였다고 판단했다. 공격자는 AI를 활용해 새로운 코드 유형을 신속히 생성하고 탐지 회피 기능을 추가하는 등 표적화와 자동화를 강화했다. 이로 인해 공격 규모와 복잡성이 동시에 확대되고 있다.

류소준 GReAT 보안 연구원은 “공격자들이 이전 피해자의 영상 등 자료를 재생해 실제 회의처럼 보이게 함으로써 표적의 신뢰를 얻는다”며 “수집된 데이터는 초기 피해자뿐 아니라 공급망과 협력사로 확장되는 2차 공격에 활용될 수 있다”고 말했다.

카스퍼스키는 조직과 개인에게 다음과 같은 기본 방어 수칙을 권고했다. ▲신규 투자·채용 제안 등 과도한 혜택을 제시하는 연락은 신원 확인을 거칠 것 ▲공식 도메인 외부의 링크와 미검증 스크립트 실행을 금지할 것 ▲파일·링크를 대체 채널로 재확인할 것 ▲텔레그램 등 신뢰 기반 플랫폼을 통한 외부 접촉에 주의할 것 등이다. 또한 실시간 위협 탐지와 엔드포인트 가시성 확보, 사고 대응 체계 마련이 중요하다고 밝혔다.

오마르 아민 카스퍼스키 GReAT 선임 보안 연구원은 “AI 도구의 악용은 공격 준비 기간을 단축시키고 표적화 정확도를 높인다”며 “기업은 위협 인텔리전스와 다계층 방어를 통해 대응 역량을 강화해야 한다”고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.