구인: 가짜 채용 공고 캠페인으로 멀웨어를 유포하고 크리덴셜을 훔치는 베트남 공격자들

해당 블로그의 원문은 2025년 10월 24일 Google Cloud 블로그(영문)에 게재되었습니다. 

Google 위협 인텔리전스 그룹(GTIG)은 베트남에서 활동하는 금전적 동기를 가진 위협 행위자 그룹이 합법적인 플랫폼에 가짜 채용 공고를 게시하여 디지털 광고 및 마케팅 분야의 개인을 표적으로 삼는 활동을 추적하고 있습니다. 이 행위자는 사회 공학 기법을 효과적으로 사용하여 멀웨어와 피싱 키트를 유포하며, 궁극적으로는 디지털 광고 계정을 장악하기 위해 가치가 높은 기업 계정을 탈취하는 것을 목표로 합니다. GTIG는 이 활동의 일부를 UNC6229로 추적합니다.

이 활동은 계약직이나 시간제 근무를 하며 현재 직업이 있으면서도 적극적으로 다른 일자리를 찾고 있을 수 있는 원격 디지털 광고 근로자를 대상으로 합니다. 공격은 대상이 멀웨어를 다운로드하여 실행하거나 피싱 사이트에 자격 증명을 입력할 때 시작됩니다. 대상이 개인 계정으로 회사 컴퓨터에 로그인한 상태에서 피해를 입거나, 회사 광고 계정에 접근할 수 있는 개인 기기를 사용하는 동안 피해를 입으면 위협 행위자는 해당 회사 계정에 접근할 수 있습니다. 기업 광고 또는 소셜 미디어 계정을 성공적으로 탈취하면 위협 행위자는 자신들의 판단에 따라 다른 행위자에게 광고를 판매하거나, 계정 자체를 다른 행위자에게 판매하여 수익을 창출할 수 있습니다. 이 블로그는 이 행위자의 전술, 기술 및 절차(TTP)에 대해 설명합니다.

심각한 위협 행위자와 싸우기 위한 노력의 일환으로, GTIG는 연구 결과를 사용하여 Google 제품 및 사용자의 안전과 보안을 개선합니다. 발견 즉시 모든 식별된 웹사이트, 도메인 및 파일은 주요 브라우저 전반의 웹 사용자를 보호하기 위해 세이프 브라우징 차단 목록에 추가됩니다. 우리는 인식을 높이고 이 활동을 방해하기 위해 보안 커뮤니티와 우리의 발견을 공유하기 위해 최선을 다하고 있습니다. 전술 및 기술에 대한 이해가 향상되면 위협 추적 기능이 향상되고 업계 전반에 걸쳐 더 강력한 사용자 보호로 이어지기를 바랍니다.

소개

GTIG는 베트남에서 활동하는 것으로 평가되는 금전적 동기를 가진 위협 그룹인 UNC6229가 운영하는 지속적이고 표적화된 사회 공학 캠페인을 확인했습니다. 이 캠페인은 인기 있는 고용 플랫폼, 프리랜서 마켓플레이스 및 자체 채용 공고 웹사이트에 가짜 채용 기회를 게시하여 채용 과정에 내재된 신뢰를 악용합니다. 지원자들은 시스템에 원격 액세스를 허용하는 멀웨어를 전달하거나 기업 자격 증명을 수집하도록 설계된 매우 설득력 있는 피싱 페이지를 전달하는 것으로 끝나는 다단계 프로세스로 유인됩니다.

주요 대상은 디지털 마케팅 및 광고 분야에서 일하는 개인으로 보입니다. 이 인구 통계를 대상으로 함으로써 UNC6229는 가치가 높은 기업 광고 및 소셜 미디어 계정에 합법적으로 접근할 수 있는 개인을 침해할 가능성을 높입니다. 이 캠페인은 인내심 있고, 피해자가 먼저 시작하는 사회 공학, 합법적인 상용 소프트웨어의 남용, 특정 산업에 대한 표적화된 접근 방식으로 주목할 만합니다.

캠페인 개요: "가짜 경력" 유인책

이 캠페인의 효과는 피해자가 먼저 연락을 시작하는 고전적인 사회 공학적 전술에 달려 있습니다. UNC6229는 합법적인 채용 플랫폼에 종종 디지털 미디어 에이전시로 위장한 가짜 회사 프로필을 만듭니다. 그들은 대상 인구 집단에 매력적인, 종종 원격 근무인 채용 공고를 게시합니다.

개인이 이러한 가짜 직책 중 하나에 지원하면, 그들은 공격자에게 자신의 이름, 연락처 정보, 이력서를 제공합니다. 이 자발적인 행동은 신뢰의 기반을 구축합니다. UNC6229가 나중에 지원자에게 연락하면, 피해자는 잠재적인 고용주로부터의 합법적인 후속 조치라고 믿고 더 수용적이게 됩니다.

취약점은 초기 입사 지원을 넘어 확장됩니다. 공격자는 다른 조작된 채용 기회에 대한 향후 "콜드 이메일"을 위해 피해자의 정보를 보관하거나, 심지어 활발한 구직자 목록을 다른 공격자에게 판매하여 유사한 악용을 저지를 수도 있습니다.

기술 분석: 공격 체인

피해자가 채용 공고에 지원하면, UNC6229는 일반적으로 이메일을 통해 연락을 시작하지만, 직접 메시징 플랫폼을 통해서도 연락합니다. 경우에 따라 공격자는 대량 이메일 발송을 허용하는 상용 CRM 도구를 사용하기도 합니다. 캠페인에 따라 공격자는 피해자에게 멀웨어가 포함된 첨부 파일, 멀웨어를 호스팅하는 웹사이트 링크, 또는 인터뷰 일정을 잡기 위한 피싱 페이지 링크를 보낼 수 있습니다.

1. 가짜 채용 공고

가짜 채용 공고를 사용하여 공격자는 특정 산업 및 지역을 표적으로 삼아 특정 지역의 디지털 광고 산업과 관련된 일자리를 게시합니다. 이와 동일한 종류의 타겟팅은 모든 산업 또는 지리적 위치에서 작동할 수 있습니다. 채용 공고는 합법적인 사이트뿐만 아니라 위협 행위자가 만든 웹사이트에도 있습니다.

2. 초기 접촉 및 인프라 남용

피해자가 채용 공고에 지원하면, UNC6229는 일반적으로 이메일을 통해 연락을 시작하지만, 직접 메시징 플랫폼을 통해서도 연락합니다. 초기 연락은 종종 악의가 없으며 개인화되어, 피해자가 지원한 직업을 언급하고 피해자를 이름으로 부릅니다. 이 첫 번째 연락은 일반적으로 첨부 파일이나 링크를 포함하지 않지만, 응답을 유도하고 관계를 더욱 발전시키도록 설계되었습니다.

GTIG는 UNC6229 및 기타 위협 행위자가 이러한 초기 이메일을 보내고 캠페인을 관리하기 위해 광범위한 합법적인 비즈니스 및 고객 관계 관리(CRM) 플랫폼을 악용하는 것을 관찰했습니다. 이러한 신뢰할 수 있는 서비스를 악용함으로써, 행위자의 이메일은 보안 필터를 우회하고 피해자에게 합법적으로 보일 가능성이 더 높습니다. 저희는 생태계를 더 잘 보호하기 위해 Salesforce를 포함하여 UNC6229가 악용한 CRM과 이러한 캠페인에 대한 통찰력을 공유했습니다. 저희는 Google 그룹스 및 Google AppSheet를 포함한 Google 제품 사용을 차단하여 이러한 행위자를 계속 방해하고 있습니다.

3. 페이로드 전달: 멀웨어 또는 피싱

피해자가 응답하면, 행위자는 페이로드 전달 단계로 진행합니다. 캠페인에 따라 공격자는 피해자에게 멀웨어가 포함된 첨부 파일이나 피싱 페이지 링크를 보낼 수 있습니다.

• 멀웨어 전달: 공격자는 기술 테스트, 지원서 또는 필수 예비 과제라고 주장하며, 종종 암호로 보호된 ZIP 파일인 첨부 파일을 보냅니다. 피해자는 파일을 여는 것이 채용 과정에서 필수적인 단계라고 지시받습니다. 페이로드에는 종종 원격 액세스 트로이 목마(RAT)가 포함되어 있어, 행위자가 피해자의 장치를 완전히 제어하고 이후 온라인 계정을 장악할 수 있습니다.

• 피싱 링크: 공격자는 때때로 URL 단축기로 난독화된 링크를 보내 피해자를 피싱 페이지로 안내합니다. 이 페이지는 종종 인터뷰 일정을 잡거나 평가를 완료하기 위한 포털로 제공됩니다.

피싱 페이지는 주요 기업의 브랜드를 사용하여 매우 설득력 있도록 설계되었습니다. GTIG는 이 위협 활동과 관련된 여러 피싱 키트를 분석했으며, 이들이 종종 기업 이메일 자격 증명을 구체적으로 표적으로 삼도록 구성되어 있으며 Okta 및 Microsoft의 MFA 체계를 포함한 다양한 다단계 인증(MFA) 체계를 처리할 수 있음을 발견했습니다.

귀속

GTIG는 이 활동이 베트남에 위치한 금전적 동기가 있는 개인 집단에 의해 수행된다고 높은 확신을 가지고 평가합니다. 여러 사건에 걸쳐 공유된 TTP와 인프라는 행위자들이 사적인 포럼에서 도구와 성공적인 기술을 교환할 가능성이 있는 협업 환경을 시사합니다.

전망

"가짜 경력" 사회 공학 전술은 기본적인 인간 행동과 직업 생활의 필수품을 악용하기 때문에 강력한 위협입니다. 저희는 UNC6229 및 기타 행위자들이 이 접근 방식을 계속 개선하여, 직원들이 귀중한 기업 자산에 접근할 수 있는 다른 산업으로 대상을 확대할 것으로 예상합니다. 악성 캠페인을 위한 합법적인 SaaS 및 CRM 플랫폼의 남용은 기존 탐지 방법에 도전하는 증가하는 추세입니다.

침해 지표

다음 침해 지표는 등록된 사용자를 위해 Google Threat Intelligence(GTI) 컬렉션에서 확인할 수 있습니다.