사이버 보안 연구원들은 조선민주주의인민공화국(DPRK)과 연계된 공격자들이 구직자를 표적으로 삼는 이전의 사이버 스파이 캠페인의 일환으로 전달한 것으로 알려진 스틸러 맬웨어의 업데이트된 변종을 발견했습니다.
문제의 아티팩트는 “MiroTalk.dmg”라는 이름의 Apple macOS 디스크 이미지(DMG) 파일로, 같은 이름의 합법적인 화상 통화 서비스를 모방하지만 실제로는 BeaverTail의 기본 버전을 전달하는 매개체 역할을 한다고 보안 연구원인 패트릭 워들은 말했다.
BeaverTail은 Palo Alto Networks Unit 42가 2023년 11월에 처음으로 문서화한 JavaScript 스틸러 맬웨어를 말하며, 이는 Contagious Interview라는 캠페인의 일부로, 면접 과정을 통해 소프트웨어 개발자를 맬웨어로 감염시키는 것을 목표로 합니다. Securonix는 DEV#POPPER라는 이름으로 동일한 활동을 추적하고 있습니다.
웹 브라우저와 암호화폐 지갑에서 민감한 정보를 빼내는 것 외에도, 이 맬웨어는 AnyDesk를 다운로드하여 지속적인 원격 액세스를 담당하는 Python 백도어인 InvisibleFerret과 같은 추가 페이로드를 전송할 수 있습니다.
BeaverTail은 GitHub과 npm 패키지 레지스트리에 호스팅된 가짜 npm 패키지를 통해 배포되었지만, 최근 발견된 사실은 배포 벡터에 변화가 있음을 보여줍니다.
“제가 추측하건대, 북한 해커들은 mirotalk(.)net에서 호스팅되는 (감염된) MiroTalk 버전을 다운로드하고 실행하여 채용 미팅에 참여하도록 요청하면서 잠재적인 피해자들에게 접근했을 가능성이 높습니다.”라고 Wardle은 말했습니다.
서명되지 않은 DMG 파일을 분석한 결과, Google Chrome, Brave, Opera와 같은 웹 브라우저, 암호화폐 지갑, iCloud Keychain에서 데이터를 훔치는 데 도움이 된다는 사실이 밝혀졌습니다. 또한 원격 서버(예: InvisibleFerret)에서 추가 Python 스크립트를 다운로드하여 실행하도록 설계되었습니다.
“북한 해커들은 교활한 무리이고 macOS 타겟을 해킹하는 데 매우 능숙합니다. 하지만 그들의 기술은 종종 사회 공학에 의존하고 있고(따라서 기술적인 관점에서 볼 때 그다지 인상적이지 않습니다)”라고 Wardle은 말했습니다.
Phylum은 call-blockflow라는 새로운 악성 npm 패키지를 발견했는데, 이 패키지는 합법적인 call-bind와 사실상 동일하지만, 레이더에 잡히지 않기 위해 엄청난 노력을 기울이면서 원격 바이너리 파일을 다운로드하는 복잡한 기능을 포함하고 있습니다.
“이번 공격에서 콜 바인드 패키지는 손상되지 않았지만 무기화된 콜 블록플로우 패키지는 공격의 성공을 뒷받침하기 위해 원본의 모든 신뢰와 합법성을 복사합니다.” The Hacker News에 공유된 성명에서 그렇게 밝혔습니다.
북한과 관련된 라자루스 그룹의 작품으로 의심되고 npm에 업로드된 지 약 1시간 30분 후에 공개되지 않은 이 패키지는 총 18건의 다운로드를 유도했습니다. 증거에 따르면 30개가 넘는 악성 패키지로 구성된 이 활동은 2023년 9월부터 파도처럼 진행되어 왔습니다.
“이러한 패키지는 설치되면 원격 파일을 다운로드하고, 암호를 해독하고, 해당 파일에서 내보낸 함수를 실행한 다음, 파일을 삭제하고 이름을 바꾸어 흔적을 꼼꼼히 감춥니다.” 소프트웨어 공급망 보안 회사가 말했습니다. “이로 인해 패키지 디렉토리는 설치 후 겉보기에 무해한 상태로 남았습니다.”
또한 JPCERT/CC가 북한의 김수키 조직이 일본 조직을 표적으로 삼아 조직한 사이버 공격에 대한 경고를 발표한 데 따른 것입니다.
감염 과정은 보안 및 외교 기관을 가장한 피싱 메시지로 시작되며, 이 메시지에는 악성 실행 파일이 포함되어 있습니다. 이 실행 파일을 열면 Visual Basic Script(VBS)가 다운로드되고, 이 스크립트는 사용자 계정, 시스템 및 네트워크 정보를 수집하고 파일과 프로세스를 열거하는 PowerShell 스크립트를 검색합니다.
수집된 정보는 명령 및 제어(C2) 서버로 유출되고, 이 서버는 두 번째 VBS 파일을 다시 응답으로 보내고, 이 파일을 실행하여 InfoKey라는 PowerShell 기반 키로거를 가져와서 실행합니다.
JPCERT/CC는 “Kimsuky가 일본의 조직을 표적으로 삼은 공격 활동에 대한 보고는 거의 없지만, 일본도 적극적으로 표적으로 삼을 가능성이 있다”고 밝혔습니다.