카스퍼스키 “AI 도구 활용 ‘BlueNoroff’ 해킹그룹 공격”

[테크월드뉴스=이광재 기자] 

카스퍼스키 GReAT(글로벌 연구 분석팀)가 해킹 그룹인 ‘BlueNoroff’의 최신 APT 활동을 공개했다.

BlueNoroff의 활동은 ‘GhostCall’과 ‘GhostHire’라는 2가지 고도화된 표적형 공격으로 지난 2025년 4월부터 인도, 터키, 호주 및 유럽·아시아의 여러 국가에 걸쳐 웹3 및 암호화폐 관련 기관을 대상으로 진행되고 있다.

BlueNoroff는 Lazarus 그룹의 하위 조직으로 글로벌 암호화폐 산업을 겨냥한 금전적 탈취를 목적으로 하는 공격인 ‘SnatchCrypto’를 지속적으로 확장하고 있다.

새롭게 포착된 GhostCall과 GhostHire 공격은 블록체인 개발자와 임원진을 침해하기 위해 새로운 침투 기법과 맞춤형 악성코드를 사용하며 윈도 및 맥OS 시스템을 주요 공격 대상으로 삼고 통합 명령제어 인프라를 통해 관리되고 있다.

GhostCall 캠페인은 맥OS 디바이스를 주요 대상으로 하며 정교하게 설계된 맞춤형 사회공학 공격으로 시작된다. 공격자는 텔레그램을 통해 접근하며 벤처캐피탈 투자자로 위장하거나 실제 기업가나 스타트업 창업자의 탈취된 계정을 이용해 투자 또는 파트너십 제안을 가장한다.

피해자는 줌 또는 마이크로소프트 팀즈를 위장한 피싱 사이트로 초대돼 “오디오 문제를 해결하기 위한 업데이트”를 요청받는데 이를 실행하면 악성 스크립트가 다운로드돼 기기에 멀웨어가 설치된다.

류소준 카스퍼스키 GReAT 보안 연구원은 “이번 캠페인은 매우 치밀하게 계획된 기만 행위에 기반하고 있다. 공격자들은 이전 피해자들의 영상 자료를 재생해 실제 화상회의처럼 연출하며 새로운 표적의 신뢰를 얻는 방식으로 속였다. 이 과정에서 수집된 데이터는 초기 피해자뿐 아니라 후속 및 공급망 공격에도 활용돼 더 넓은 범위의 조직과 사용자를 위협한다”고 말했다.

공격자는 총 7단계의 멀티 스테이지 실행 체인을 배포했으며 이 중 4개는 이전에 보고되지 않은 새로운 형태였다. 이를 통해 암호화폐 탈취기, 브라우저 자격 증명 탈취기, 비밀정보 탈취기, 텔레그램 인증정보 탈취기 등의 다양한 맞춤형 페이로드를 유포했다.

이효은 카스퍼스키 한국지사장은 “AI 기반 공격 도구를 무기화한 BlueNoroff과 같은 APT의 등장은 한국의 디지털 경제에 커다란 위협으로 다가오고 있다. GhostCall과 GhostHire 공격은 공격자들이 텔레그램과 같은 신뢰 기반 플랫폼을 악용해 웹3 및 암호화폐 산업 내부로 침투하는 과정을 보여준다. 공격의 정교화가 가속화되는 만큼 한국 기업들은 AI 기반 위협 인텔리전스와 제로 트러스트 프레임워크를 우선적으로 도입해야 한다. 카스퍼스키의 XDR솔루션과 MDR 서비스는 조직이 고도화된 공격을 조기에 탐지하고 대응할 수 있도록 지원하며 위협 인텔리전스를 통해 공급망 침해까지 선제적으로 방어할 수 있다. AI 기반 사이버 범죄의 시대에 경계심과 다계층 보안은 그 어느 때보다 중요하다”고 강조했다.

GhostHire 캠페인: 채용을 가장한 개발자 표적 공격= GhostHire 캠페인에서는 공격자가 블록체인 개발자를 채용 담당자로 위장해 공격한다. 피해자는 기술 테스트를 가장한 GitHub 저장소를 다운로드하고 실행하도록 유도된다. GhostHire는 GhostCall 캠페인과 공통 인프라 및 도구를 공유하지만 영상통화 대신 가짜 채용 제안을 중심으로 진행된다.

초기 접촉 이후 피해자는 텔레그램 봇에 추가되며, ZIP 파일 또는 GitHub 링크를 전달받는다. 짧은 기한 내에 테스트를 완료하라는 압박을 받으며 파일을 실행하면 해당 악성코드는 운영체제(OS)에 맞게 최적화된 형태로 설치된다.

AI 기반 악성코드 개발 가속화= 생성형 AI의 도입으로 BlueNoroff은 악성코드 개발 속도를 크게 높이고 공격 기법을 정교화할 수 있었다. 공격자들은 새로운 프로그래밍 언어를 도입하고 탐지 및 분석을 어렵게 만드는 기능을 추가했다. 이를 통해 공격의 규모와 복잡성을 동시에 확장시키고 있다.

오마르 아민 카스퍼스키 GReAT 선임 보안 연구원은 “이전 캠페인과 비교할 때 위협 행위자의 공격 전략은 단순한 암호화폐 탈취나 브라우저 자격 증명 탈취를 넘어섰다. 생성형 AI의 활용으로 공격 준비 과정이 단축되고 더 정교한 표적화가 가능해졌다. 공격자는 수집된 데이터와 AI의 분석 역량을 결합해 공격의 범위를 지속적으로 확대하고 있다”고 밝혔다.