사회 공학 사기와 Obsidian 노트 작성 앱
최근 새로운 사회 공학 사기가 Obsidian 노트 작성 앱을 활용하여 암호화폐 및 금융 전문가들을 겨냥한 악성코드를 배포하고 있습니다. Elastic Security Labs는 화요일에 발표한 보고서에서 공격자들이 “LinkedIn과 Telegram에서 정교한 사회 공학 기법을 사용하여” 악성 코드를 커뮤니티 개발 플러그인에 숨겨 전통적인 보안을 우회하는 방법을 상세히 설명했습니다.
공격의 전개
이 캠페인은 디지털 자산 분야의 개인들을 특별히 겨냥하며, 블록체인 거래의 영구적인 특성을 악용합니다. Chainalysis 데이터에 따르면, 지갑 해킹으로 인해 2025년까지 7억 1300만 달러의 도난 자금이 발생할 것으로 예상되며, 이 취약점은 특히 심각합니다.
공격은 사기꾼들이 LinkedIn에서 벤처 캐피탈 대표로 가장하여 전문 네트워킹을 시작하는 것으로 시작됩니다.
이러한 대화는 결국 Telegram으로 전환되어 공격자들이 “그럴듯한 비즈니스 맥락“을 구축하기 위해 암호화폐 유동성 솔루션에 대해 논의합니다. 신뢰가 구축되면, 피해자는 공유된 Obsidian 클라우드 금고에 호스팅된 회사 데이터베이스 또는 대시보드에 접근하도록 초대받습니다. 금고를 여는 것은 초기 접근 경로로 작용합니다.
악성코드의 실행
피해자는 커뮤니티 플러그인 동기화를 활성화하도록 안내받으며, 이는 트로이 목마화된 소프트웨어의 은밀한 실행을 촉발합니다. 기술적 실행은 Windows와 macOS 간에 약간의 차이가 있지만, 두 경로 모두 PHANTOMPULSE라는 이전에 알려지지 않은 원격 접근 트로이 목마(RAT)의 설치로 이어집니다.
이 악성코드는 감염된 장치에 대한 공격자의 완전한 제어를 허용하면서 탐지를 피하기 위해 낮은 프로필을 유지하도록 설계되었습니다. PHANTOMPULSE는 세 가지 서로 다른 블록체인 네트워크에 걸쳐 분산된 명령 및 제어(C2) 시스템을 통해 공격자와의 연결을 유지합니다.
Elastic은 “블록체인 거래는 변경할 수 없고 공개적으로 접근 가능하기 때문에, 악성코드는 중앙 집중식 인프라에 의존하지 않고 항상 자신의 C2를 찾을 수 있다”고 언급했습니다.
여러 체인을 사용하는 것은 하나의 블록체인 탐색기가 제한되더라도 공격이 회복력을 유지하도록 보장합니다. 이 방법은 운영자들이 인프라를 원활하게 회전할 수 있게 하여 방어자들이 악성코드와 그 출처 간의 연결을 차단하기 어렵게 만듭니다.
결론 및 권고 사항
Elastic은 Obsidian의 의도된 기능을 악용함으로써 해커들이 “전통적인 보안 통제를 완전히 우회했다“고 경고했습니다. 이 회사는 고위험 금융 분야에서 운영되는 조직들이 플러그인에 대한 엄격한 애플리케이션 수준 정책을 구현하여 정당한 생산성 도구가 도난의 진입점으로 재사용되는 것을 방지해야 한다고 제안했습니다.
