최근 사이버 보안 보고서에 따르면, 북한과 연계된 해킹 집단 라자루스 그룹이 CeFi(중앙화 금융) 분야의 구직자를 노리기 위해 ‘클릭픽스(ClickFix)’라는 새로운 전술을 채택하고 있다. 이 연구는 사이버 보안 업체 Sekoia가 발표한 것으로, 라자루스 그룹이 과거의 ‘전염성 면접(Contagious Interview)’ 캠페인에서 발전하여 비기술직 전문가들을 대상으로 하는 방식으로 전환했음을 보여준다.
새롭게 관찰된 캠페인에서 라자루스 그룹은 마케팅 및 비즈니스 개발 담당자와 같은 비기술직 전문가들에게 초점을 맞추고 있으며, Coinbase, KuCoin, Kraken, 그리고 스테이블코인 발행사 테더와 같은 주요 암호화폐 기업을 사칭하고 있다. 공격자들은 구직자들을 유인하기 위해 가짜 면접 초대장을 발송하고, 이력서 제출을 위한 신뢰성 있는 포털을 모방한 사기 웹사이트를 구축한다. 이 사이트들은 종종 진짜 지원서 양식과 비디오 소개 요청을 포함해 신뢰성을 높이려 한다.
구직자가 비디오를 녹화하려 할 때, 그들은 조작된 오류 메시지를 보고하게 되며, 이는 대개 웹캠이나 드라이버의 문제를 제시한다. 이후 사용자는 이러한 문제를 해결하기 위해 파워셸(PowerShell) 명령어를 실행하도록 유도받게 되고, 이 과정에서 악성코드가 다운로드된다. 클릭픽스 방식은 사용자가 기술적인 문제를 해결하는 것이라고 믿게 하여 악성코드를 실행하게 만드는 심리적 단순성을 활용하고 있으며, Sekoia에 따르면 이 캠페인은 최소 14개의 저명한 기업을 참조하는 184개의 가짜 면접 초대장의 자료를 이용해 신뢰성을 높이고 있다.
이러한 최신 전술은 라자루스 그룹의 사회 공학적 복잡성이 증가하고 있는 모습을 보여주며, 경쟁이 치열한 암호화폐 구직 시장에서 개인들의 직업적 열망을 이용하고 있다. 흥미롭게도, 이 전술의 변화는 단순히 코드나 인프라에 접근할 수 있는 이들만을 목표로 하고 있는 것이 아니라, 민감한 내부 데이터를 다루는 역할이나 우발적인 보안 침해를 초래할 수 있는 이들까지 포함하고 있음을 시사한다.
클릭픽스의 출현에도 불구하고, Sekoia는 원래의 전염성 면접 캠페인이 여전히 활성화되어 있다고 보고하였다. 이 두 가지 전략의 병행 사용은 북한의 국가 후원 집단이 각각의 효과성을 시험하고 있거나 서로 다른 목표 집단에 맞춘 전술을 조정하고 있음을 암시한다. 두 캠페인은 공통된 목표를 가지고 있으며, 신뢰할 수 있는 경로를 통해 정보 탈취 악성코드를 배포하고 피해자로 하여금 스스로 감염하도록 유도하는 것을 목표로 한다.
연방수사국(FBI)은 최근 라자루스 그룹이 암호화폐 거래소 바이빗(Bybit)에 대한 15억 달러 규모의 해킹 사건의 배후에 있다고 공식 인정하였다. 해커들은 가짜 구직 제안을 이용해 직원들을 속여 ‘트레이더트레이터(TraderTraitor)’라는 오염된 거래 소프트웨어를 설치하도록 유도하였다. 이 악성 애플리케이션은 교차 플랫폼 자바스크립트와 Node.js 개발을 통해 진짜처럼 보이게 제작되었으나, 실제로는 개인 키를 훔치고 블록체인에서 불법 거래를 실행하도록 설계된 악성코드를 포함하고 있다.
