Axios, 북한 해커의 공격으로 뚫리다

공격자는 채용 담당자를 사칭하여 피해자에게 접근했으며, 이는 신뢰 구축을 위한 초기 단계로 분석됨. 이후 Microsoft Teams를 활용하여 마치 합법적인 채용 과정인 것처럼 위장하고, 가짜 로그인 페이지를 통해 사용자 인증 정보(Credentials)를 탈취하는 수법을 사용함. 이는 피싱(Phishing) 공격의 고도화된 형태로, 사용자의 심리를 이용하는 것이 핵심임.

탈취한 인증 정보를 이용해 공격자는 Axios 시스템에 침투했으며, 이후 원격 제어 트로이 목마(Remote Access Trojan, RAT)를 설치한 것으로 보임. RAT는 공격자에게 원격에서 시스템을 제어할 수 있는 권한을 부여하며, 이를 통해 파일 접근, 데이터 유출, 추가 악성코드 설치 등 광범위한 악성 행위가 가능해짐. 영상에서는 이 RAT가 'Plain CryptoJS'라는 이름으로 위장되었음을 언급함.

공격은 Microsoft Teams라는 협업 도구의 취약점이나 설정 오류를 직접적으로 이용한 것이 아니라, Teams의 메시징 및 파일 공유 기능을 악용하여 악성 링크를 전달하고 사회 공학적 기법을 실행하는 데 사용됨. 공격자는 Teams 내에서 가짜 프로필과 가짜 채널을 생성하여 신뢰도를 높였으며, 이는 협업 도구의 보안 인식이 중요함을 시사함.

해커는 Axios의 내부 시스템에 접근하여 데이터를 유출했으며, 영상에서는 'UNC 경로'를 통한 데이터 접근 시도를 언급함. Axios는 사건 인지 후 신속하게 악성코드를 제거하고 시스템을 복구하는 작업을 진행함. 또한, 버전 1.14.1 및 0.30.4 두 가지 버전의 소프트웨어를 긴급 배포하여 보안 취약점을 패치하고 재발 방지를 위한 조치를 취했음을 밝힘.

영상에서는 이번 공격의 배후로 북한 해킹 그룹(North Korean threat actors)을 지목하며, 이들이 새로운 툴킷과 AI 기반의 소셜 엔지니어링 기술을 활용하고 있다고 분석함. 특히, UNC 경로를 이용한 데이터 유출 시도와 가짜 웹사이트 디자인이 매우 정교하여 일반 사용자가 구분하기 어렵다는 점을 강조함. 이는 국가 지원 해킹 그룹의 진화하는 공격 방식을 보여줌.