조선민주주의인민공화국(DPRK)과 연계된 위협 행위자가 Apple macOS 장치를 감염시킬 수 있는 다단계 악성 코드로 암호화폐 관련 기업을 표적으로 삼는 것이 관찰되었습니다.
이 캠페인에 이름을 붙인 사이버 보안 회사 SentinelOne 숨겨진 위험에서는 이전에 RustBucket, KANDYKORN, ObjCShellz, RustDoor(Thiefbucket이라고도 함) 및 TodoSwift와 같은 악성 코드 계열과 연결되었던 BlueNoroff에 높은 신뢰도를 갖고 있다고 밝혔습니다.
연구원인 Raffaele Sabato, Phil Stokes 및 Tom Hegel은 The Hacker News와 공유한 보고서에서 “이 활동은 PDF 파일로 위장한 악성 애플리케이션을 통해 대상을 감염시키기 위해 암호화폐 동향에 대한 가짜 뉴스를 전파하는 이메일을 사용합니다”라고 밝혔습니다.
“이 캠페인은 빠르면 2024년 7월에 시작되었을 가능성이 높으며 가짜 뉴스 헤드라인이나 암호화 관련 주제에 대한 이야기가 포함된 이메일 및 PDF 미끼를 사용합니다.”
미국 연방수사국(FBI)이 2024년 9월 권고에서 밝힌 바와 같이, 이러한 캠페인은 탈중앙화 금융(DeFi) 및 암호화폐 부문에서 근무하는 직원을 겨냥한 “고도로 맞춤화되고 탐지하기 어려운 사회 공학” 공격의 일부입니다. .
공격은 가짜 취업 기회나 기업 투자의 형태를 취하며, 멀웨어를 전달하기 전에 신뢰를 구축하기 위해 장기간 대상과 교전합니다.
SentinelOne은 2024년 10월 말 암호화폐 관련 업계에서 delphidigital(.)org에 호스팅된 PDF 파일(“Hidden Risk Behind New Surge of Bitcoin Price.app”)을 모방한 드로퍼 애플리케이션을 전달하는 이메일 피싱 시도를 목격했다고 밝혔습니다.
Swift 프로그래밍 언어로 작성된 해당 애플리케이션은 2024년 10월 19일 Apple 개발자 ID “Avantis Regtech Private Limited(2S8XHJ7948)”로 서명 및 공증된 것으로 확인되었습니다. 이후 아이폰 제조사는 서명을 취소했다.
이 애플리케이션은 실행 시 Google Drive에서 검색된 미끼 PDF 파일을 다운로드하여 피해자에게 표시하는 동시에 원격 서버에서 은밀하게 2단계 실행 파일을 검색하여 실행합니다. Mach-O x86-64 실행 파일인 C++ 기반 서명되지 않은 바이너리는 원격 명령을 실행하는 백도어 역할을 합니다.
또한 백도어에는 zshenv 구성 파일을 남용하는 새로운 지속성 메커니즘이 포함되어 있어 악성 코드 작성자가 이 기술을 처음으로 남용했습니다.
연구원들은 “Apple이 macOS 13 Ventura부터 백그라운드 로그인 항목에 대한 사용자 알림을 도입한 이후 최신 버전의 macOS에서 특히 가치가 있습니다.”라고 말했습니다.
“Apple의 알림은 지속성 방법, 특히 자주 남용되는 LaunchAgents 및 LaunchDaemons가 설치될 때 사용자에게 경고하는 것을 목표로 합니다. 그러나 Zshenv를 남용하면 현재 버전의 macOS에서는 이러한 알림이 트리거되지 않습니다.”
또한 위협 행위자는 도메인 등록 기관인 Namecheap을 사용하여 암호화폐, Web3 및 투자와 관련된 주제를 중심으로 한 인프라를 구축하여 합법성을 부여하는 것으로 관찰되었습니다. Quickpacket, Routerhosting 및 Hostwinds는 가장 일반적으로 사용되는 호스팅 제공업체 중 하나입니다.
공격 체인이 Kandji가 2024년 8월에 강조한 이전 캠페인과 일정 수준의 중복을 공유한다는 점은 주목할 가치가 있습니다. 이 캠페인은 TodoSwift를 배포하기 위해 비슷한 이름의 macOS 드로퍼 앱 “비트코인 가격 하락에 대한 위험 요소가 나타나고 있습니다(2024).app”을 사용했습니다. .
위협 행위자들이 전술을 바꾸게 된 계기가 무엇인지, 그리고 그것이 공개 보고에 대한 대응인지는 확실하지 않습니다. Stokes는 The Hacker News에 “북한 행위자들은 창의성, 적응성, 활동 보고서에 대한 인식으로 유명합니다. 따라서 우리는 그들의 공격적인 사이버 프로그램에서 다양한 성공적인 방법이 나타나는 것을 보고 있는 것이 전적으로 가능합니다.”라고 말했습니다.
이 캠페인의 또 다른 우려되는 측면은 BlueNoroff가 유효한 Apple 개발자 계정을 획득하거나 하이재킹하고 이를 사용하여 Apple이 악성 코드를 공증하도록 하는 능력입니다.
연구원들은 “지난 12개월 동안 북한의 사이버 공격자들은 암호화폐 관련 산업을 대상으로 일련의 캠페인을 벌였으며, 그 중 상당수는 소셜 미디어를 통해 표적을 광범위하게 ‘손질’하는 것과 관련이 있었습니다”라고 밝혔습니다.
“Hidden Risk 캠페인은 이 전략에서 벗어나 보다 전통적이고 조악하지만 반드시 덜 효과적인 이메일 피싱 접근 방식을 취합니다. 초기 감염 방법이 무뚝뚝함에도 불구하고 이전 북한이 지원한 캠페인의 다른 특징은 분명합니다.”
이 개발은 또한 북한 해커들이 서구의 다양한 기업에 일자리를 구하고 채용 도전이나 임무를 가장하여 예비 구직자에게 부비트랩 코드베이스와 회의 도구를 사용하여 악성 코드를 전달하기 위해 조직한 다른 캠페인 중에도 이루어졌습니다.
Wagemole(일명 UNC5267) 및 Contagious Interview라고 불리는 두 개의 침입 세트는 Famous Chollima(일명 CL-STA-0240 및 Tenacious Pungsan)로 추적된 위협 그룹에 기인합니다.
Contagious Interview에 DeceptiveDevelopment라는 이름을 붙인 ESET는 이를 암호화폐 도난을 목표로 전 세계 프리랜서 개발자를 표적으로 삼는 데 초점을 맞춘 새로운 Lazarus Group 활동 클러스터로 분류했습니다.
Zscaler ThreatLabz 연구원 박성수는 이번 주 초 “Contagious Interview와 Wagemole 캠페인은 북한 위협 행위자들이 계속해서 데이터를 훔치고, 서방 국가에서 원격 일자리를 확보하고, 금융 제재를 우회하면서 진화하는 전술을 보여줍니다”라고 말했습니다.
“정교한 난독화 기술, 다중 플랫폼 호환성, 광범위한 데이터 도난을 통해 이러한 캠페인은 기업과 개인 모두에게 점점 더 큰 위협이 되고 있습니다.”