이셋, 글로벌 프리랜서 개발자 대상 악성코드 유포 포착

[아이티데일리] 프리랜서 개발자에게 채용 담당자로 위장해 접근한 뒤 악성코드를 퍼뜨린 사이버공격 캠페인이 발각됐다. 이들은 피해자에게 암호화폐를 탈취하거나 주요 정보를 수집하는 스파이 활동을 벌인 것으로 확인됐다.

글로벌 보안기업 이셋(ESET)은 20일(현지 시각) 공식 홈페이지를 통해 이 같은 사이버공격을 연구한 보고서를 발표했다. 이번 공격은 암호화폐 프로젝트에서 일하는 전 세계 소프트웨어 개발자를 표적으로 삼았으며 미국, 러시아, 우크라이나 등 9개국에서 집중적으로 보고됐다.

이셋이 ‘디셉티브디벨롭먼트(DeceptiveDevelopment)’로 명명한 이 캠페인은 기업 인사 담당자로 위장한 뒤 가짜 채용 제안으로 프리랜서 개발자들에게 접근한다. 초기에는 신규 계정을 사용해 깃허브(GitHub) 링크를 보냈으며, 이후 많은 인맥을 보유한 듯 거짓으로 속인 프로필로 변경하거나 실제 사용 중인 계정을 탈취해 공격 대상 범위를 넓혀나갔다.

이 과정에서 공격자들은 피해자에게 코딩 테스트를 요청한 뒤 작업에 필요한 파일을 전송했다. 이는 다운로드 시 컴퓨터에 악성코드를 배포하는 트로이목마 감염 파일이었으며 ‘비버테일(BeaverTail)’과 ‘인비저블페럿(InvisibleFerret)’ 등 2종으로 구성됐다.

비버테일은 △트로이목마로 쓸 수 있는 자바스크립트 변종과 △회의 소프트웨어로 위장한 Qt 플랫폼으로 만들어진 형태 등 두 가지 버전이 유포됐다. 이는 운영체제 시스템에 접근해 웹브라우저에 침투한 후 암호화폐 관련 확장 프로그램 설치 여부를 확인하고 로그 파일을 수집하는 활동을 한다. 또한 웹브라우저 내 저장된 로그인 정보까지 탈취했으며 인비저블페럿을 불러오는 ‘다운로더(Downloader)’ 역할도 수행했다.

비버테일에 뒤이어 설치되는 인비저블페럿은 정보 탈취 및 원격 제어 기능을 갖춘 모듈식 파이썬(python) 악성코드다. 모듈 4개로 구성된 이 악성코드는 공격자가 내리는 원격 명령을 받아 키 입력을 기록하고 저장 장치에서 파일과 데이터를 유출하는 등 다양한 사이버공격을 일으킬 수 있었다.

이셋은 이번 캠페인을 북한과 연계된 공격으로 간주했다. 공격자가 사용한 깃허브 계정과 북한 IT 개발자들이 쓰던 가짜 이력서가 포함된 계정 간 연결을 관찰했기 때문이다. 회사는 또한 트로이 목마가 숨겨진 직무 과제나 가짜 채용 담당자 등이 여타 북한 연계 활동과 유사한 점도 확인했다.

실제로 비트디펜더는 이달 5일(현지 시각) 북한과 연계된 해킹 조직 ‘라자루스(Lazarus)’가 소셜미디어 플랫폼 ‘링크드인(Linkedin)’에 가짜 구인 공고를 올려 악성코드를 유포한 사례를 발표한 바 있다. 이 역시 공격 대상에게 거짓으로 채용을 제안 후 깃허브 저장소를 통해 스파이웨어를 유포하는 방식으로 이뤄졌다.

이셋 마테이 하르바넥(Matěj Harvánek) 연구원은 “이번 캠페인을 통해 북한과 연계된 공격이 더 발전된 도구와 정교한 기법으로 피해자를 유인하고 악성코드를 배포한다는 점을 확인했다”면서 “모든 온라인 구직 플랫폼은 공격자가 악성코드 배포에 악용할 수 있는 위험에 노출돼 있다”고 덧붙여 주의를 당부했다.