텔레그램·가짜 줌 링크로 피해자 유인, 딥페이크 영상으로 신뢰도 확보
애플스크립트·FAT 실행파일 악용해 정상 프로세스 공격
헌트리스 "맥OS도 안전지대 아니다…맞춤형 공격 주의"
[보안뉴스 여이레 기자] 딥페이크 기술로 기업 임원을 사칭한 북한 해킹 조직이 줌 화상회의를 통해 맥OS(macOS) 맞춤형 악성 코드 설치와 암호화폐 탈취를 노리고 있다. 최근 맥OS 대상 공격은 계속 진화하면서 상대적으로 보안에 강하다고 알려진 맥OS 사용자에 경종을 울리고 있다.
[자료: gettyimagesbank]
사이버 보안 플랫폼 헌트리스(Hentress)에 따르면 ‘사파이어 슬릿’(Saphire Sleet) 또는 TA444로도 불리는 북한 ‘블루노로프’(BlueNoroff) APT 그룹이 이 공격을 주도하고 있다. 이전 공격과 마찬가지로 이번 공격의 주요 목표는 암호화폐 탈취로 보인다.
이들은 정교한 인젝션 과정을 통해 맥OS 보안을 우회했다. 디버깅 권한이 부여된 바이너리와 애플스크립트를 조합해 정상 프로세스에 악성 페이로드를 인젝션했다. ARM과 x86_64 바이너리 모두를 지원하는 FAT 실행파일 구조도 악용됐다. 인젝션 후 파일 덮어쓰기 등 안티포렌식 기법으로 흔적을 지웠다.
공격자 그룹은 외부 전문가로 위장해 텔레그램으로 회의 요청을 보낸 뒤 회의 일정 조율 소프트웨어 캘린들리(Calendly) 초청 링크를 전달했다. 이 링크는 평범한 구글 미트 초대처럼 보이지만 실제로는 공격자가 통제하는 가짜 줌 도메인으로 연결된다. 이 수법은 4월 발견된 북한 해킹 그룹 ‘일루시브 코멧’(Elusive Comet) 캠페인과 유사하다.
이들은 실제 임원이나 외부 전문가를 딥페이크로 구현해 줌 회의에 참가시켜 피해자를 속였다. 회의 중 피해자의 마이크가 작동하지 않는 등의 문제가 발생하는데, 이때 딥페이크 임원은 텔레그램으로 줌 확장 프로그램 설치 링크를 안내했다. 이 링크를 통해 피해자는 애플스크립트 파일(zoom_sdk_support.scpt)을 다운로드 하게 된다.
이 파일은 실행시 1만500줄의 공백을 파싱한 뒤 외부에서 2차 페이로드를 다운로드해 실행하는 악성 명령을 동작시킨다. 이 과정에서 배시(bash) 히스토리 기록을 비활성화하고, 애플 실리콘 Mac에서 x86_64 바이너리가 동작할 수 있도록 로제타2 설치 여부를 확인해 필요시 자동 설치했다.
이후 피해자의 암호를 반복적으로 요구해 획득한 뒤 추가 악성코드를 설치하고 실행했다. 쉘 히스토리도 삭제해 사용자의 침해 사실을 인지하지 못하게 했다.
헌트리스가 상세 분석한 결과 이들은 △상주형 백도어 ‘텔레그램2’ △키로거 및 화면 캡쳐 ‘XScreen(keyboardd)’ △추가 페이로드를 다운 및 실행하고 원격 명령을 수행하는 ‘Root Try V4’ △암호화된 페이로드를 복호화해 프로세스 인젝션을 수행하는 ‘InjectionWithDyld(a)’ △암호화폐 탈취 ‘크립토봇(airmond)’과 같은 악성코드를 설치했다.
특히 크립토봇은 시스템 내 브라우저 확장 프로그램을 탐색해 바이낸스·메타마스크·트러스트월렛 등 주요 암호화폐 지갑 정보를 집중적으로 수집했다. 수집된 데이터는 AES-CFB 방식으로 암호화돼 C2 서버로 전송됐다. 주요 C2 도메인으로는 productnews[.]online, metamask[.]awaitingfor[.]site 등이 활용됐다.
헌트리스는 “맥OS 사용자도 더 이상 안전지대가 아니다”며 “이번 사건처럼 맥OS 고유의 기능과 바이너리를 악용한 맞춤형 공격이 늘고 있어, 모든 맥 사용자와 조직의 각별한 경계와 대응이 요구된다”고 밝혔다.
[여이레 기자(gore@boannews.com)]
애플스크립트·FAT 실행파일 악용해 정상 프로세스 공격
헌트리스 "맥OS도 안전지대 아니다…맞춤형 공격 주의"
[보안뉴스 여이레 기자] 딥페이크 기술로 기업 임원을 사칭한 북한 해킹 조직이 줌 화상회의를 통해 맥OS(macOS) 맞춤형 악성 코드 설치와 암호화폐 탈취를 노리고 있다. 최근 맥OS 대상 공격은 계속 진화하면서 상대적으로 보안에 강하다고 알려진 맥OS 사용자에 경종을 울리고 있다.
[자료: gettyimagesbank]
사이버 보안 플랫폼 헌트리스(Hentress)에 따르면 ‘사파이어 슬릿’(Saphire Sleet) 또는 TA444로도 불리는 북한 ‘블루노로프’(BlueNoroff) APT 그룹이 이 공격을 주도하고 있다. 이전 공격과 마찬가지로 이번 공격의 주요 목표는 암호화폐 탈취로 보인다.
이들은 정교한 인젝션 과정을 통해 맥OS 보안을 우회했다. 디버깅 권한이 부여된 바이너리와 애플스크립트를 조합해 정상 프로세스에 악성 페이로드를 인젝션했다. ARM과 x86_64 바이너리 모두를 지원하는 FAT 실행파일 구조도 악용됐다. 인젝션 후 파일 덮어쓰기 등 안티포렌식 기법으로 흔적을 지웠다.
공격자 그룹은 외부 전문가로 위장해 텔레그램으로 회의 요청을 보낸 뒤 회의 일정 조율 소프트웨어 캘린들리(Calendly) 초청 링크를 전달했다. 이 링크는 평범한 구글 미트 초대처럼 보이지만 실제로는 공격자가 통제하는 가짜 줌 도메인으로 연결된다. 이 수법은 4월 발견된 북한 해킹 그룹 ‘일루시브 코멧’(Elusive Comet) 캠페인과 유사하다.
이들은 실제 임원이나 외부 전문가를 딥페이크로 구현해 줌 회의에 참가시켜 피해자를 속였다. 회의 중 피해자의 마이크가 작동하지 않는 등의 문제가 발생하는데, 이때 딥페이크 임원은 텔레그램으로 줌 확장 프로그램 설치 링크를 안내했다. 이 링크를 통해 피해자는 애플스크립트 파일(zoom_sdk_support.scpt)을 다운로드 하게 된다.
이 파일은 실행시 1만500줄의 공백을 파싱한 뒤 외부에서 2차 페이로드를 다운로드해 실행하는 악성 명령을 동작시킨다. 이 과정에서 배시(bash) 히스토리 기록을 비활성화하고, 애플 실리콘 Mac에서 x86_64 바이너리가 동작할 수 있도록 로제타2 설치 여부를 확인해 필요시 자동 설치했다.
이후 피해자의 암호를 반복적으로 요구해 획득한 뒤 추가 악성코드를 설치하고 실행했다. 쉘 히스토리도 삭제해 사용자의 침해 사실을 인지하지 못하게 했다.
헌트리스가 상세 분석한 결과 이들은 △상주형 백도어 ‘텔레그램2’ △키로거 및 화면 캡쳐 ‘XScreen(keyboardd)’ △추가 페이로드를 다운 및 실행하고 원격 명령을 수행하는 ‘Root Try V4’ △암호화된 페이로드를 복호화해 프로세스 인젝션을 수행하는 ‘InjectionWithDyld(a)’ △암호화폐 탈취 ‘크립토봇(airmond)’과 같은 악성코드를 설치했다.
특히 크립토봇은 시스템 내 브라우저 확장 프로그램을 탐색해 바이낸스·메타마스크·트러스트월렛 등 주요 암호화폐 지갑 정보를 집중적으로 수집했다. 수집된 데이터는 AES-CFB 방식으로 암호화돼 C2 서버로 전송됐다. 주요 C2 도메인으로는 productnews[.]online, metamask[.]awaitingfor[.]site 등이 활용됐다.
헌트리스는 “맥OS 사용자도 더 이상 안전지대가 아니다”며 “이번 사건처럼 맥OS 고유의 기능과 바이너리를 악용한 맞춤형 공격이 늘고 있어, 모든 맥 사용자와 조직의 각별한 경계와 대응이 요구된다”고 밝혔다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
_m.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
