북한 연계 UNC1069, AI 미끼를 이용해 암호화폐 조직 공격
Source: The Hacker News
배경
- UNC1069는 2018년 4월 최소부터 활동 중** (자세한 내용은 평가).
- 이 그룹은 CryptoCore와 MASAN이라는 별명으로도 추적됩니다.
- 재정적 이익을 위해 가짜 회의 초대장을 사용하고 텔레그램에서 투자자로 가장하는 등 사회공학 캠페인을 자주 수행합니다.
2023년 11월 보고서에서 Google Threat Intelligence Group(GTIG)은 이 행위자가 **생성 AI 도구(예: Gemini)**를 사용해 유인 자료 및 기타 암호화폐 관련 메시지를 제작해 캠페인에 활용하고 있음을 강조했습니다 (출처).
최근 활동
- 이 그룹은 Gemini를 악용하여 암호화폐를 훔치는 코드를 개발하고, 업계 인물을 모방한 딥‑페이크 이미지/비디오를 생성하고 있습니다.
- 이러한 미끼는 Zoom Software Development Kit (SDK)로 위장한 BIGMACHO라는 백도어를 배포하는 데 사용됩니다.
- 2023년 이후, UNC1069는 전통 금융(TradFi)에서 Web 3 생태계로 초점을 전환했으며, 중앙화 거래소(CEX), 금융 기관의 소프트웨어 개발자, 하이테크 기업, 벤처‑캐피털 관계자를 표적으로 삼고 있습니다.
Google 위협 인텔리전스 부서가 문서화한 최신 침해 사례에서, UNC1069는 최대 7개의 서로 다른 악성코드 패밀리를 배포했으며, 그 중 새롭게 식별된 3가지가 포함됩니다:
| 새로운 악성코드 패밀리 | 설명 |
|---|---|
| SILENCELIFT | (세부 정보 대기 중) |
| DEEPBREATH | (세부 정보 대기 중) |
| CHROMEPUSH | (세부 정보 대기 중) |
Attack Flow
-
Initial Contact – 피해자는 Telegram에서 벤처 캐피털리스트(또는 경우에 따라 정당한 기업가의 탈취된 계정)를 사칭하는 행위자에게 접근됩니다.
-
Scheduling – 공격자는 Calendly 링크를 보내 30분 회의를 잡도록 합니다.
-
Phishing Landing Page – Calendly 링크는 피해자를 가짜 Zoom 사이트(
zoom.uswe05[.]us)로 리다이렉트합니다. URL은 종종 Telegram의 하이퍼링크 기능 뒤에 숨겨져 있습니다. -
Fake Video Call Interface – 페이지는 Zoom 통화를 흉내 내며 피해자에게 카메라를 켜고 이름을 입력하도록 요구합니다.
- 표시되는 영상은 딥페이크일 수도 있고, 이전 피해자로부터 캡처한 실제 녹화일 수도 있습니다.
- Kaspersky는 이 캠페인을 GhostCall(2025년 10월 문서)와 동일하게 추적합니다.
“그들의 웹캠 영상이 무의식적으로 녹화된 뒤 공격자가 제어하는 인프라에 업로드되어 다른 피해자를 속이는 데 재사용되었으며, 이를 통해 피해자들은 실제 라이브 콜에 참여하고 있다고 믿게 되었습니다.” – Kaspersky.
-
Error Prompt & ClickFix – “통화”가 끝난 후 오디오 문제에 대한 가짜 오류가 표시되고, 피해자에게 ClickFix 스타일의 트러블슈팅 명령을 실행하도록 유도합니다.
- Windows – 악성 백도어를 드롭하는 PowerShell/명령줄 페이로드를 실행합니다.
- macOS – 악성 Mach‑O 바이너리를 드롭하는 AppleScript를 실행합니다.
관찰된 악성코드 및 도구
| 악성코드 패밀리 | 플랫폼 | 주요 기능 |
|---|---|---|
| BIGMACHO | Windows/macOS | 백도어; 가짜 Zoom SDK를 통해 전달 |
| SILENCELIFT | (비공개) | (보류 중) |
| DEEPBREATH | (비공개) | (보류 중) |
| CHROMEPUSH | (비공개) | (보류 중) |
| ClickFix | Windows/macOS | 사회공학적 “문제 해결” 도구 |
| GhostCall | (추적명) | 동일 캠페인, 다른 공급업체 라벨 |
완화 권고사항
| Recommendation | Details |
|---|---|
| User Awareness | 직원들에게 공식 채널을 통해 회의 링크를 확인하도록 교육하고, 원치 않는 텔레그램 메시지의 링크 클릭을 금지하도록 합니다. |
| URL Inspection | 링크 위에 마우스를 올려 실제 목적지를 확인하고, 방문하기 전에 URL 평판 서비스를 사용합니다. |
| Multi‑Factor Authentication (MFA) | 특히 암호화폐 지갑이나 거래소 API에 접근할 수 있는 특권 계정에 MFA를 적용합니다. |
| Endpoint Protection | 열거된 악성코드 패밀리와 의심스러운 PowerShell/AppleScript 활동을 탐지할 수 있는 EDR 솔루션을 배포합니다. |
| Network Segmentation | 암호화폐 관련 작업을 수행하는 시스템을 일반 기업 네트워크와 격리합니다. |
| Patch Management | Zoom, macOS, Windows 및 모든 타사 소프트웨어를 최신 상태로 유지하여 취약점 노출을 줄입니다. |
| Threat Intelligence Feeds | UNC1069, CryptoCore, MASAN, GhostCall의 IOCs를 표시하는 피드에 구독합니다. |
Source: …
Overview
WAVESHAPER는 시스템 정보를 수집하고 HYPERCALL이라는 코드명으로 된 Go 기반 다운로더를 배포하는 악성 C++ 실행 파일입니다. HYPERCALL은 이후 추가 페이로드를 제공하는 데 사용됩니다:
- HIDDENCALL – 손으로 키보드에 접근할 수 있는 기능을 제공하는 Golang 백도어 구성 요소이며, DEEPBREATH라는 Swift 기반 데이터 채굴기를 배포합니다.
- SUGARLOADER – CHROMEPUSH를 배포하는 두 번째 C++ 다운로더입니다.
- SILENCELIFT – 시스템 정보를 명령‑제어(C2) 서버에 전송하는 최소형 C/C++ 백도어입니다.
DEEPBREATH
DEEPBREATH는 macOS의 투명성, 동의 및 제어(TCC) 데이터베이스를 조작해 파일 시스템 접근 권한을 얻으며, 이를 통해 다음 정보를 탈취합니다:
- iCloud 키체인 자격 증명
- Google Chrome, Brave, Microsoft Edge의 데이터
- 텔레그램 메시지
- Apple Notes
CHROMEPUSH
CHROMEPUSH는 또한 데이터 탈취 도구로, C++로 작성되어 Google Chrome 및 Brave용 브라우저 확장 프로그램으로 배포됩니다. 구글 문서를 오프라인에서 편집하는 도구로 위장하며 다음을 수행할 수 있습니다:
- 키 입력 기록
- 사용자 이름 및 비밀번호 입력 감시
- 브라우저 쿠키 추출
“단일 호스트에 배포된 도구들의 양은 자격 증명, 브라우저 데이터 및 세션 토큰을 수집해 금융 사기를 촉진하려는 매우 강력한 의도를 나타냅니다,”라고 Mandiant는 말했습니다. “UNC1069는 일반적으로 암호화폐 스타트업, 소프트웨어 개발자 및 벤처 캐피털 회사를 표적으로 하지만, 알려진 다운로더 SUGARLOADER와 함께 여러 새로운 악성코드 패밀리를 배포한 것은 그들의 역량이 크게 확장되었음을 의미합니다.”
Stay informed: Follow us for more exclusive content