AI 기반 블루노로프(BlueNoroff) 공격 — GhostCall & GhostHire 분석

AI 기반 블루노로프(BlueNoroff) 공격 — GhostCall & GhostHire 분석

사이버보안 기업 카스퍼스키(Kaspersky)가 인공지능(AI) 기반 공격 도구를 활용한 북한 연계 해킹그룹 블루노로프(BlueNoroff)의 최신 공격 캠페인을 공개했다. 이번 공격은 ‘GhostCall’과 ‘GhostHire’라는 이름으로 포착됐으며, Web3 및 가상화폐 산업 종사자를 겨냥한 고도화된 침투 작전으로 분석되었다.

🎯 공격 개요 — 라자루스의 하위 조직, 블루노로프

카스퍼스키 글로벌 연구분석팀(GReAT)은 블루노로프를 라자루스(Lazarus)의 하위 조직으로 분류하며, 전 세계 가상화폐 산업을 표적으로 한 SnatchCrypto 작전을 지속 확장하고 있다고 밝혔다. 이번 GhostCall과 GhostHire 캠페인은 인도, 터키, 호주, 유럽, 아시아 지역에서 발견되었으며, 블록체인 개발자와 기업 임원을 타깃으로 맞춤형 악성코드를 활용한다.

🎭 GhostCall — 사회공학 기반 macOS 침투

GhostCall은 macOS 환경을 노린 사회공학형 공격이다. 공격자는 텔레그램을 통해 피해자에게 접근하고, 탈취된 투자자 계정으로 “파트너십 제안”을 가장했다. 이후 Zoom·Teams 피싱 사이트로 유도하여 “오디오 문제 해결용 업데이트” 파일을 설치하도록 유인한다.

이 과정에서 설치되는 악성 스크립트는 7단계 실행 체인으로 구성되어 있으며, 일부 단계는 새롭게 발견된 형태였다. 공격자는 암호화폐 탈취기, 브라우저 인증정보·텔레그램 인증정보 탈취기 등 여러 페이로드를 배포했다.

💡 분석자 코멘트: 실제 화상회의 영상 자료를 재생해 신뢰를 얻는 등, 공격자들이 심리전과 사회공학을 정교하게 결합한 사례로 평가된다.

💼 GhostHire — 채용 미끼형 공격

GhostHire는 블록체인 개발자를 노린 채용 위장 공격이다. 공격자는 인사담당자나 헤드헌터를 사칭하며, 텔레그램으로 접근 후 “기술 테스트 파일” 형태로 악성 ZIP 또는 GitHub 링크를 전달한다. 피해자가 이를 실행하면 운영체제별 맞춤 악성코드가 설치된다.

GhostHire는 GhostCall과 동일한 인프라를 공유하지만, 화상회의 대신 채용 과정을 악용한다는 점이 다르다. 두 공격 모두 신뢰 기반 플랫폼(텔레그램)을 이용해 피해자의 경계심을 낮추는 것이 특징이다.

🤖 AI로 강화된 공격 정교화

카스퍼스키는 블루노로프가 생성형 AI를 활용해 악성코드 개발 속도를 비약적으로 향상시켰다고 분석했다. 공격자들은 새 언어를 도입하고 탐지 우회 로직을 자동화하는 등, 기존보다 훨씬 빠르고 정교한 공격을 수행하고 있다.

AI를 통한 자동 코드 변형과 분석 데이터 결합으로 공격의 표적화 정확도가 향상되며, Web3와 암호화폐 기업을 중심으로 확산 중이다.

🛡️ 방어 전략 — 제로 트러스트와 XDR 필수

카스퍼스키 한국지사 이효은 대표는 “AI 기반 공격 도구를 무기화한 블루노로프의 등장으로 한국의 디지털 경제도 직접적인 위협에 노출됐다”고 경고했다.

그는 AI 위협 인텔리전스 + 제로 트러스트(Zero Trust) 프레임워크 도입과 함께, XDR(확장 탐지 및 대응), MDR(관리형 탐지 대응) 솔루션의 필요성을 강조했다.

카스퍼스키는 앞으로도 GReAT 팀을 중심으로 전 세계 APT 활동을 추적하고, AI 기반 공격 방어 기술을 강화해 한국 및 아시아 지역의 보안 역량을 높일 계획이다.

[관련 포스팅]

2025.11.04 - [IT 소식 뉴스/IT 소식] - 김수키(Kimsuky) ‘HttpTroy’ 유포 정황 — 스피어피싱·ZIP 첨부 기반 백도어 유포 분석

김수키(Kimsuky) ‘HttpTroy’ 유포 정황 — 스피어피싱·ZIP 첨부 기반 백도어 유포 분석

2025.10.19 - [IT 소식 뉴스/IT 소식] - 북한 연계 해킹조직, BeaverTail·OtterCookie 기능 통합해 공격 툴 고도화

북한 연계 해킹조직, BeaverTail·OtterCookie 기능 통합해 공격 툴 고도화