북한 해커, macOS를 타깃으로 한 혁신적인 맬웨어 배포

사이버 보안 전문가들은 북한 해커들이 국가 이니셔티브를 지원하고 국제 제재를 회피하기 위해 자금을 횡령하는 것을 주 목적으로 하는 뻔뻔스러운 사이버 침입을 일관되게 지적해 왔습니다. Jamf 가 실시한 최근 ​​연구 에서는 이러한 악의적인 행위자와 관련된 정교한 맬웨어 변종이 밝혀졌습니다. 이 특정 맬웨어는 악성 콘텐츠에 대한 파일을 검사하는 데 사용되는 인기 있는 서비스인 VirusTotal에서 발견되었습니다. 흥미롭게도 이 맬웨어는 처음에는 “깨끗함”으로 분류되었습니다. 이 악성 소프트웨어는 세 가지 다른 버전으로 제공됩니다. 하나는 Go로 개발되었고, 다른 하나는 Python으로 개발되었으며, 세 번째는 Flutter를 활용했습니다.

플러터: 개발자와 사이버 범죄자를 위한 양날의 검

Google에서 만든 오픈소스 프레임워크인 Flutter를 사용하면 개발자가 단일 Dart 코드베이스에서 iOS 및 Android와 같은 여러 플랫폼용 애플리케이션을 제작할 수 있습니다. 이 크로스 플랫폼 유틸리티는 Flutter를 합법적인 개발자에게 귀중한 자산으로 만들지만 사이버 범죄자에게는 매력적인 옵션이기도 합니다. Flutter의 본질적으로 복잡한 코드 구조는 맬웨어를 가려서 보안 시스템이 잠재적 위협을 감지하기 어렵게 만들 수 있습니다.

위장된 위협: 복제된 게임

이 맬웨어는 GitHub에서 복제된 평범한 지뢰찾기 게임의 모습을 하고 있었습니다. 악의적인 의도는 Dynamic Library(dylib) 파일에 숨겨져 있었는데, 이 파일은 .에 위치한 명령 및 제어(C2) 서버와 연결을 설정하려고 했습니다 mbupdate.linkpc.net. 이 도메인은 이전에 북한 맬웨어와 관련이 있었습니다. 다행히 Jamf 팀이 조사했을 때, 해당 서버가 휴면 상태였고 “404 Not Found” 오류만 반환하여 공격이 실현되지 않았다는 것을 발견했습니다.

기만적 실행 및 잠재적 위험

이 맬웨어의 특히 영리한 측면 중 하나는 C2 서버에서 전송된 AppleScript 명령을 실행하는 능력으로, 감지를 피하기 위해 역순으로 실행하는 독특한 기술을 사용합니다. Jamf의 실험은 맬웨어가 모든 AppleScript 명령을 원격으로 실행할 수 있는 기능을 확인했습니다. 여기에는 공격 실행이 진행되었을 경우 해커가 감염된 시스템을 광범위하게 제어할 수 있는 명령도 포함됩니다.

결론 및 권장 사항

이 사건은 해커들이 Apple의 보안 조치를 회피하기 위한 기술을 연마하고 있다는 것을 보여주는 예비 테스트인 듯합니다. Flutter 자체는 악의적이지 않지만, 그 설계는 본질적으로 유해한 코드를 숨기는 데 도움이 되며, 합법적인 개발 도구가 악의적인 목적으로 재활용되는 우려스러운 추세를 강조합니다. 사이버 보안 위협이 진화함에 따라, 특히 기업 환경에 있는 사용자는 경계를 유지하고 보안을 위한 모범 사례를 채택하는 것이 필수적입니다.

출처 및 이미지