북한 해커, 사이버 스파이에서 랜섬웨어 공격으로 전환

사이버 스파이 작전으로 유명한 북한과 연계된 위협 세력이 랜섬웨어를 배포하는 재정적 동기를 지닌 공격으로 점차 확장하면서, 이 나라와 연계된 다른 국가 기반 해킹 그룹과 차별화를 꾀하고 있습니다.

Google 소유의 Mandiant는 새로운 이름으로 활동 클러스터를 추적하고 있습니다. APT45여기에는 Andariel, Nickel Hyatt, Onyx Sleet, Stonefly, Silent Chollima 등의 이름이 겹칩니다.

“APT45는 2009년 초부터 간첩 활동을 수행한 장기적이고 중간 수준의 정교한 북한 사이버 운영자입니다.” 연구원 Taylor Long, Jeff Johnson, Alice Revelli, Fred Plan, Michael Barnhart가 말했습니다. “APT45는 중요한 인프라를 표적으로 삼는 것이 가장 자주 관찰되었습니다.”

APT45는 APT38(일명 BlueNoroff), APT43(일명 Kimsuky), Lazarus Group(일명 TEMP.Hermit)과 함께 북한의 최고 군사 정보기관인 정찰총국(RGB) 소속이라는 점을 언급할 가치가 있습니다.

APT45는 2021년과 2022년에 한국, 일본, 미국을 표적으로 삼은 SHATTEREDGLASS와 Maui로 추적된 랜섬웨어 패밀리의 배포와 특히 관련이 있습니다. SHATTEREDGLASS의 세부 정보는 2021년 6월에 Kaspersky에서 문서화했습니다.

“APT45는 자체 작전을 지원하기 위해서 뿐만 아니라 다른 북한 국가의 우선순위를 위한 자금을 조성하기 위해 재정적 동기를 가진 사이버 범죄를 저지르고 있을 가능성이 있습니다.”라고 Mandiant는 말했습니다.

북한이 보유한 또 다른 주목할 만한 맬웨어는 Dtrack(일명 Valefor 및 Preft)이라는 백도어입니다. 이는 2019년 인도 쿠단쿨람 원자력 발전소를 표적으로 한 사이버 공격에 처음 사용되었는데, 이는 북한 세력이 중요 인프라를 공격한 몇 안 되는 공개적으로 알려진 사례 중 하나입니다.

“APT45는 북한에서 가장 오랫동안 활동해 온 사이버 조직 중 하나이며, 이 그룹의 활동은 정부와 국방 기관을 겨냥한 전통적인 사이버 간첩 활동에서 의료와 작물 과학을 포함하도록 활동이 전환되었음에도 불구하고 북한 정권의 지정학적 우선순위를 반영하고 있습니다.”라고 Mandiant는 말했습니다.

“국가가 국가 권력의 도구로서 사이버 작전에 의존하게 되면서 APT45와 다른 북한 사이버 운영자들이 수행하는 작전은 국가 지도부의 변화하는 우선순위를 반영할 수 있습니다.”

보안 인식 교육 회사인 KnowBe4는 미국 시민의 신원을 도용하고 인공 지능(AI)을 사용하여 신분을 강화한 북한 출신 IT 근로자를 소프트웨어 엔지니어로 채용했다고 밝혔습니다.

읽다 싱가포르 은행, 3개월 내 온라인 로그인 OTP 단계적 폐지

해당 회사는 “이것은 미국 시민의 도용된 신원을 사용하여 여러 차례의 비디오 인터뷰에 참여하고 회사에서 일반적으로 사용하는 배경 조사 절차를 우회한, 국가 지원 범죄 인프라의 지원을 받은 능숙한 북한 IT 근로자였다”고 밝혔습니다.

조선노동당 군수공업부 소속으로 평가되는 IT 노동자 군대는 실제로는 중국과 러시아에 있으면서 미국에 있는 척하여 미국 기업에 취업을 시도한 전력이 있으며, 회사에서 지급한 노트북을 “노트북 팜”에 배달하여 원격으로 로그인하는 방식을 취했습니다.

KnowBe4는 2024년 7월 15일 오후 9시 55분 EST에 개인에게 전송된 Mac 워크스테이션에서 세션 기록 파일 조작, 잠재적으로 유해한 파일 전송, 유해한 소프트웨어 실행으로 구성된 의심스러운 활동을 감지했다고 밝혔습니다. 이 맬웨어는 Raspberry Pi를 사용하여 다운로드되었습니다.