BlueNoroff, ClickFix 이용 및 파일리스 PowerShell과 AI 생성 가짜 Zoom 회의를 통해 Web3 섹터 공략

요약

BlueNoroff는 북한 연계된 Lazarus Group의 금융 동기 부여된 하위 그룹으로서, 북미 웹3 및 암호화폐 회사에 대한 표적 침입을 수행했습니다. 공격자들은 ClickFix 기술, 파일리스 PowerShell 실행, AI로 생성된 가짜 Zoom 회의 초대장을 결합하여 초기 접근을 확보하고 환경 내에서 그들의 범위를 확장하려 했습니다. 이 작전은 암호화폐 절도를 지원하기 위한 사회 공학과 로앤드 기술을 성숙하게 혼합한 예를 보여줍니다.

조사

Arctic Wolf 분석가들은 보통과 다른 PowerShell 활동과 AI로 강화된 악성 Zoom 회의 링크를 식별한 후 침입을 감지했습니다. 추가 증거는 ClickFix 전달 방법과 파일리스 실행을 가리키며, 전통적인 안티바이러스 방어를 회피하려는 명확한 시도를 나타냈습니다. BlueNoroff에 대한 귀속은 오랫동안 Lazarus Group 활동과 연관된 도구, 운영 행동, 무역술 패턴에 기반하여 이루어졌습니다.

완화

조직은 Zoom 및 기타 회의 플랫폼에 대해 다요소 인증을 요구하고, 불필요한 PowerShell 원격 작업을 제한하며 ClickFix 관련 이진 파일을 주의 깊게 모니터링해야 합니다. 이메일 보안 제어는 AI 생성된 피싱 미끼를 잡도록 강화되어야 하며, 사용자는 예상치 못한 회의 초대장을 상호작용하기 전에 확인하도록 교육받아야 합니다.

대응

이 활동이 감지되면, 영향을 받은 엔드포인트를 즉시 격리하고 휘발성 메모리를 캡처하며 PowerShell 로그와 모든 ClickFix 관련 아티팩트의 포렌식 분석을 수행합니다. 손상된 인증 정보는 폐지하고, 민감한 비밀은 회전시키며 잠재적 암호화폐 절도에 대한 사건 대응 절차를 활성화해야 합니다. 관련 지표는 업계 ISACs와 공유되어야 하며, 탐지는 최신 발견 내용을 반영하도록 업데이트되어야 합니다.