 |
베트남 기업을 겨냥한 새로운 사이버 공격 캠페인이 발생했습니다. 일러스트 사진: 블룸버그. |
SEQRITE Labs의 보안 연구원들이 정교한 사이버 공격 캠페인을 발견했습니다. "하노이 도둑 작전"으로 명명된 이 캠페인은 이력서를 위장하여 베트남의 IT 부서와 채용 기관을 노립니다.
11월 3일에 처음 발견된 해커들은 구직 신청서로 위장하여 악성코드를 유포하는 수법을 사용했습니다. 공격자의 목표는 내부 네트워크에 침투하여 시스템을 장악하고 고객 데이터와 사업 기밀을 훔치는 것이었습니다.
맬웨어의 작동 방식
보안 전문가에 따르면, 공격자는 "Le Xuan Son CV.zip" 파일을 첨부하여 일련의 구직 지원 이메일을 발송했습니다. 압축을 풀자 두 개의 파일이 포함되어 있었는데, 하나는 "CV.pdf.lnk"이고 다른 하나는 "offsec-certified-professional.png"였습니다.
PDF 및 PNG 아이콘으로 위장되어 있어 일반 이력서 파일로 오인될 수 있습니다. 파일을 클릭하면 LOTUSHARVEST 바이러스가 활성화되는데, 이 바이러스는 비밀번호 정보, 접속 기록 등을 수집하여 해커의 서버로 전송하는 데 특화되어 있습니다.
GBHackers 에 따르면 하노이 출신의 Le Xuan Son이라는 가짜 이력서는 2021년부터 GitHub 계정을 가지고 있었습니다. 그러나 연구원들은 이 계정이 어떤 정보도 게시하지 않았으며, 단지 공격 캠페인을 위한 용도로만 사용되었을 가능성이 높다는 것을 발견했습니다.
공격은 세 단계로 진행됩니다. LNK 파일을 열면 Windows에 내장된 ftp.exe 도구를 통해 특수 명령을 실행합니다. 이는 오래되고 더 이상 사용되지 않는 기술로, 맬웨어가 기본 제어를 우회할 수 있도록 합니다.
 |
해커들은 "Le Xuan Son"이라는 이름으로 이력서를 보내 기업을 속인다. 사진: SEQRITE . |
2단계에서도 시스템은 여전히 해당 파일이 PDF 또는 일반 텍스트 파일이라고 착각합니다. 그러나 추가 분석을 통해 연구원들은 악성 코드가 PDF 파일 시작 부분 앞에 숨겨져 있음을 발견했습니다.
맬웨어는 즉시 활동을 시작하여 Windows에서 제공되는 certutil.exe 도구의 이름을 변경하여 탐지를 피하고, 최종 악성 파일 패키지가 포함된 데이터를 추출했습니다. 명령줄은 시스템을 속이기 위해 파일 이름을 "CV-Nguyen-Van-A.pdf"로 변경한 후, "MsCtfMonitor.dll"이라는 파일을 추출하여 복호화하여 C:\ProgramData 폴더에 저장했습니다.
공격자는 System32에서 ctfmon.exe 파일을 같은 폴더로 복사하여 DLL 하이재킹 기술을 악용하여 시스템이 일반 프로그램 대신 악성 파일을 실행하게 했습니다.
마지막으로, LOTUSHARVEST 악성코드가 정보를 훔치기 위해 활성화됩니다. 이 데이터에는 Chrome 및 Edge 브라우저의 로그인 정보와 함께 가장 최근에 방문한 URL 20개, 관련 메타데이터가 포함됩니다.
도난당한 데이터는 Windows WinINet API를 통해 해커의 인프라로 전송됩니다. 또한 이 소프트웨어는 컴퓨터 이름과 사용자 이름을 추가하여 서버에 신원 프로필을 생성합니다.
베트남 기업들은 보호 강화가 필요하다
공격 캠페인에서 우려되는 점은 LOTUSHARVEST가 스스로를 숨기고 작동할 수 있다는 것입니다. 이 악성코드는 라이브러리 로딩 메커니즘을 활용하여 기존 보안 조치의 보호 수준을 넘어 장기적인 통제력을 유지하고 민감한 계정과 데이터에 접근합니다.
평가에 따르면, 도난당한 데이터는 해커가 침투 범위를 확대하고 위험한 도구를 배포하며 다음 단계에서 기업을 다층 공격이나 강탈의 표적으로 삼는 데 "열쇠"가 될 수 있습니다.
하노이 도둑 캠페인은 베트남 기업을 직접 표적으로 삼아 치밀하게 계획되었다는 증거가 있습니다.
Bkav의 맬웨어 분석 전문가인 응우옌 딘 투이 씨는 "외부에서 정기적으로 지원서를 받지만 사이버 보안 인식이 완벽히 갖춰져 있지 않은 채용 부서를 악용해 해커는 이력서나 문서 형태의 가짜 파일을 사용하고 지속적으로 여러 가지 변형으로 변형할 수 있어 감염 위험을 예측할 수 없게 만듭니다."라고 말했습니다.
 |
스크립트는 맬웨어의 로그인 및 접속 기록을 추출합니다. 사진: SEQRITE . |
Bkav에 따르면, 베트남 기업들이 공격 캠페인의 피해를 입었다고 합니다. LOTUSHARVEST와 하노이 도둑 캠페인의 위험성으로 인해 사용자는 이메일을 통해 수신된 문서에 각별히 주의해야 합니다.
기업과 조직은 직원 교육을 정기적으로 실시하고, 온라인 사기 수법에 대한 인식과 경계를 강화해야 합니다. 또한, 내부 모니터링 시스템을 강화하여 비정상적인 라이브러리나 의심스러운 파일을 모니터링해야 합니다.
운영 체제의 기본 도구는 기본적인 보안 요구 사항만 충족할 뿐, 숨어서 오랫동안 지속되고 시스템에 깊숙이 침투할 수 있는 최신 맬웨어 및 바이러스를 차단하기에는 충분하지 않습니다. 따라서 최상의 보호를 위해서는 이메일 모니터링 시스템을 설치하고 정품 바이러스 백신 소프트웨어를 사용하는 것이 필수적입니다.
출처: https://znews.vn/canh-giac-khi-mo-cv-xin-viec-cua-le-xuan-son-post1608612.html
![[사진] 국회의장 쩐 탄 만, 빈퓨처 2025 시상식 참석](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F05%2F1764951162416_2628509768338816493-6995-jpg.webp&w=3840&q=75)
![[사진] 베트남 사진작가 협회 창립 60주년 기념](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F05%2F1764935864512_a1-bnd-0841-9740-jpg.webp&w=3840&q=75)
댓글 (0)