크립토 해킹 캠페인에서 사용된 가짜 줌 업데이트

북한의 해킹 그룹이 Web3 및 암호화폐 회사를 대상으로 한 새로운 방식의 사이버 공격에 연루되어 있다는 보고가 있습니다. 이들은 macOS 악성 소프트웨어 중에서도 드문 유형을 사용하고 있습니다.

Sentinel Labs의 연구원들이 이 맬웨어 패밀리를 NimDoor라고 명명하였습니다. 이는 알려지지 않은 프로그래밍 언어인 Nim을 활용하기 때문입니다.

공격은 사회 공학적 기법으로 시작됩니다. 공격자들은 동료를 가장하여 텔레그램을 통해 목표를 찾아갑니다. 그들은 그런 다음 피해자에게 가짜 줌 회의 링크를 전송한 후 “Zoom SDK 업데이트 스크립트”를 실행하라고 요청합니다. 이 악성 스크립트는 10,000개의 공백 줄과 하나의 오타(“Zook” 대신 “Zoom”)를 포함하고 있으며, 2개의 실행 파일을 다운로드합니다.

한 번 트리거되면, 이 악성 프로그램은 로그인 자격증명, 브라우저 데이터, 텔레그램 채팅 기록을 훔칠 수 있는 프로그램을 포함한 여러 해로운 프로그램을 다운로드하고 설치합니다. 또 다른 스크립트는 사용자의 시스템 파일, 키체인 데이터, 심지어 터미널 기록까지 비밀리에 복사하여 모두 원격 서버로 되돌려 보냅니다.

대부분의 macOS 악성 소프트웨어와 달리, NimDoor는 프로세스 인젝션과 같은 고급 방법을 암호화된 WebSocket Secure(wss) 통신과 함께 사용합니다. 이 악성 소프트웨어는 고급 기능을 사용하여 명령 서버와의 안전한 통신을 가능하게 함으로써, 탐지가 점점 더 어려워집니다.

특히 눈에 띄는 특징은 그것의 지속성 메커니즘이며: 사용자나 시스템이 이 악성 소프트웨어를 중지하려 해도, macOS의 자체 신호 처리 도구(SIGINT/SIGTERM)를 사용하여 자동으로 재설치됩니다.

“위협 행위자들이 분석가들에게 새로운 수준의 복잡성을 도입하는 크로스 플랫폼 언어를 계속 탐색하고 있다”라고 Sentinel Labs의 연구원인 필 스톡스와 라파엘 사바토가 썼습니다. 그들은 Nim과 AppleScript의 사용, 가짜 업데이트 유인책 등을 통해 공격자들이 새로운 수준의 정교함을 보여주고 있다고 경고합니다.

보안 전문가들은 Web3와 암호화 플랫폼이 보안 조치를 강화하면서 직원들에게 사회 공학 기법에 대해 교육해야 한다고 권장합니다. 이는 이 맬웨어 캠페인이 공격자들이 신뢰를 악용하여 안전한 시스템을 침투하는 방법을 어떻게 사용할 수 있는지를 보여주기 때문입니다.