시기

·         알 수 없음

공격 대상

·         미국 및 서구권 기업

·         금융, 기술, 암호화폐·Web3, 핀테크, 헬스케어, 엔지니어링, IT 산업

초기 침투

·         GitHub 저장소 Pull Request를 이용한 대량 접근 및 메시지 전송

·         원격 IT 근로자 채용 제안으로 위장한 사회공학 기법

이용 취약점

·         없음

악성코드 및 도구

·         AnyDesk: 원격 데스크톱 접속 도구

·         Google Remote Desktop: 원격 접속 유지 도구

·         Astrill VPN: 위치 은폐용 VPN

·         Simplify Copilot: 채용 지원 자동화 브라우저 확장

·         AIApply: 구직 자동화 도구

·         Final Round AI: 면접 실시간 답변 보조 AI 도구

·         Saved Prompts for GPT: LLM 프롬프트 저장 도구

기법

·         신원 도용 및 임대 기반 위장 취업

·         사회공학을 이용한 신뢰 구축

·         AI 도구를 활용한 채용 인터뷰 통과

·         원격 데스크톱을 통한 24시간 접근 유지

·         VPN을 통한 위치 위장

·         시스템 정보 수집(dxdiag, systeminfo, whoami)

피해

·         기업 내부 시스템 접근 시도

·         개인 신원 정보(SSN, 신분증, 계좌 정보 등) 탈취 요구

·         기업 스파이 활동 및 북한 정권 자금 조달

내용

·         원격 IT 근로자로 위장하여 미국 기업에 취업을 시도함

·         피해자에게 노트북 접근 권한과 신원 정보 제공을 요구함

·         AnyDesk 및 Google Remote Desktop을 통해 시스템 접근을 유지함

·         원격근무 인프라 악용과 신원 탈취에 초점을 둔 작전으로 확인됨

·         연구진이 ANY.RUN 샌드박스 환경에서 이들의 모든 활동을 실시간으로 관찰·기록함

출처

·         Smile, You’re on Camera: A Live Stream from Inside Lazarus Group’s IT Workers Scheme[1]

시기

·         알 수 없음

공격 대상

·         기업 환경

·         원격 근무 채용 프로세스를 운영하는 조직

·         Microsoft Incident Response가 대응한 고객 환경

초기 침투

·         합법적인 원격 근무 직원으로 위장해 취업

이용 취약점

·         없음

악성코드 및 도구

·         PiKVM: 하드웨어 기반 원격 제어 장치, 물리적 접근처럼 시스템 완전 제어 가능

·         Cosmic: Azure 분석 도구

·         Arctic: Azure 및 Active Directory 분석 도구

·         Fennec: 다중 운영체제 포렌식 증거 수집 도구

·         Microsoft Defender for Endpoint: 엔드포인트 탐지 및 대응

·         Microsoft Defender for Identity: ID 기반 위협 탐지

·         Microsoft Entra ID Protection: ID 보안 텔레메트리 수집

기법

·         원격 근무 직원 사칭

·         HR 및 온보딩 프로세스 우회

·         하드웨어 기반 원격 접근(PiKVM)을 통한 EDR 우회

·         지속적이고 은밀한 외부 접속 유지

·         네트워크 내부에서의 데이터 직접 접근

피해

·         민감한 데이터 접근 및 탈취 가능성

·         기업 네트워크에 대한 지속적 비인가 접근

·         내부 시스템 신뢰 경계 붕괴

내용

·         가짜 원격 직원으로 위장한 공격자가 기업 계정을 정상 발급받음

·         업무용 워크스테이션에 PiKVM 장치를 연결함

·         하드웨어 기반 원격 제어를 통해 물리적으로 존재하는 것처럼 시스템을 조작함

·         EDR 통제를 우회하여 은밀하게 데이터 접근을 수행함

·         Microsoft Incident Response(DART)가 포렌식 분석을 통해 Jasper Sleet과의 연관성을 확인함

출처

·         Imposter for hire: How fake people can gain very real access[2]

시기

·         알 수 없음

공격 대상

·         암호화폐 사용자

·         가상자산 관련 개발자

·         DeFi 종사자

·         Chromium 기반 브라우저 사용자

초기 침투

·         악성 스크립트를 포함한 RAR 압축파일 유포

·         정상 도구로 위장한 “Pharos.rar” 다운로드 유도

·         압축 해제 시 WinRAR 취약점 트리거

이용 취약점

·         CVE-2025-8088: WinRAR ADS 경로 검증 미흡으로 인한 경로 탐색 및 임의 파일 생성

악성코드 및 도구

·         Pharos.rar: 악성 RAR 압축파일

·         1.bat: Windows Defender 업데이트로 위장한 실행 스크립트

·         stub.pyw: 다중 난독화 Python 로더

·         Tsunami Injector: 지속성 확보 및 추가 페이로드 로더

·         Blank Grabber: 정보 탈취 악성코드

·         PowerShell: 사용자 기만용 보안 경고 출력

·         Dropbox: 악성 스크립트 다운로드 경로

·         Pastebin: 추가 페이로드 URL 제공

·         Telegram C2 통신 채널

기법

·         RAR 압축파일 기반 사회공학

·         WinRAR ADS 경로 탐색 취약점 악용

·         Startup 폴더 자가 실행 등록

·         다중 계층 난독화 및 동적 로딩

·         Python 환경 자동 설치

·         계정 자격증명 및 암호화폐 지갑 정보 탈취

·         Telegram 기반 명령제어 통신

피해

·         브라우저 저장 비밀번호 탈취

·         Cookies 및 자동완성 데이터 탈취

·         Telegram 세션 탈취

·         Discord 토큰 및 계정 정보 탈취

·         MetaMask, Exodus, Electrum 등 20여 종 암호화폐 지갑 시드 및 개인키 탈취

·         가상자산 계정 탈취 및 자금 유출 가능성

내용

·         Lazarus 조직이 “Pharos-Automation-Bot”으로 위장한 RAR 파일을 유포

·         WinRAR 취약점으로 Startup 디렉터리에 악성 BAT 파일 생성

·         BAT 스크립트가 Python 로더를 다운로드 및 실행

·         로더가 Blank Grabber 정보 탈취 악성코드를 로드

·         브라우저, 메신저, 암호화폐 지갑을 집중적으로 노린 정보 탈취 수행

·         공격 방식과 난독화 구조가 기존 Lazarus 활동과 일치하여 APT-C-26으로 귀속됨

출처

·         APT-C-26（Lazarus）组织利用WinRAR漏洞部署Blank Grabber木马的技术分析[3]