링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

‘KandyKorn’ macOS 악성 코드, 암호화 엔지니어 유혹

악명 높은 북한 APT(지능형 지속 위협) 그룹 Lazarus가 암호화폐 거래소에 연결된 블록체인 엔지니어를 표적으로 삼는 데 사용하는 “KandyKorn”이라는 일종의 macOS 악성 코드를 개발했습니다.

Elastic Security Labs의 보고서에 따르면 KandyKorn은 암호화폐 서비스 및 애플리케이션을 포함하여 피해자의 컴퓨터에서 모든 데이터를 탐지, 액세스 및 훔칠 수 있는 모든 기능을 갖추고 있습니다.

이를 전달하기 위해 Lazarus는 암호화폐 차익거래 봇(암호화폐 교환 플랫폼 간의 암호화폐 환율 차이로 이익을 얻을 수 있는 소프트웨어 도구)으로 가장하는 Python 애플리케이션과 관련된 다단계 접근 방식을 취했습니다. 해당 앱은 ‘config.py’, ‘pricetable.py’ 등 오해의 소지가 있는 이름을 특징으로 하며 공개 Discord 서버를 통해 배포되었습니다.

그런 다음 이 그룹은 사회 공학 기술을 사용하여 피해자가 봇이 포함된 것으로 알려진 zip 아카이브를 개발 환경에 다운로드하고 압축을 풀도록 장려했습니다. 실제로 이 파일에는 악성 코드가 포함된 사전 빌드된 Python 애플리케이션이 포함되어 있었습니다.

공격 피해자들은 차익 거래 봇을 설치했다고 믿었지만, Python 애플리케이션을 실행하면 KandyKorn 악성 도구 배포로 이어지는 다단계 악성 코드 흐름이 실행되기 시작했다고 Elastic Security 전문가들이 말했습니다.

KandyKorn 악성 코드의 감염 루틴

공격은 Watcher.py를 가져오는 Main.py의 실행으로 시작됩니다. 이 스크립트는 Python 버전을 확인하고, 로컬 디렉터리를 설정하고, Google 드라이브에서 TestSpeed.py 및 FinderTools라는 두 개의 스크립트를 직접 검색합니다.

이러한 스크립트는 Sugarloader라는 난독화된 바이너리를 다운로드하고 실행하는 데 사용됩니다. 이 바이너리는 시스템에 대한 초기 액세스 권한을 부여하고 Hloader라는 도구도 포함된 악성 코드의 최종 단계를 준비하는 역할을 합니다.

위협팀은 전체 악성코드 배포 경로를 추적할 수 있었고 KandyKorn이 실행 체인의 마지막 단계라는 결론을 내렸습니다.

그런 다음 KandyKorn 프로세스는 해커의 서버와 통신을 설정하여 백그라운드에서 실행될 수 있도록 합니다.

분석에 따르면 악성코드는 기기와 설치된 애플리케이션을 폴링하지 않고 해커의 직접적인 명령을 기다린다. 이로 인해 생성되는 엔드포인트와 네트워크 아티팩트 수가 줄어들어 탐지 가능성이 제한되는 것으로 분석됐다.

또한 위협 그룹은 난독화 기술로 반사 바이너리 로딩을 사용했는데, 이는 악성코드가 대부분의 탐지 프로그램을 우회하는 데 도움이 되었습니다.

보고서는 “공격자들은 일반적으로 전통적인 정적 서명 기반 맬웨어 방지 기능을 우회하기 위해 이와 같은 난독화 기술을 사용합니다”라고 지적했습니다.

불타오르는 암호화폐 거래소

암호화폐 거래소는 2023년 일련의 개인 키 도난 공격을 겪었는데, 대부분은 부당 이득을 북한 정권에 자금을 지원하는 라자루스 그룹에 의해 발생했습니다. FBI는 최근 이 그룹이 여러 암호화폐 강도 사건에서 1,580개의 비트코인을 옮겨 6개의 다른 비트코인 ​​주소에 자금을 보관하고 있음을 발견했습니다.

9월에는 적어도 2021년 11월부터 진행된 암호화폐 절도 캠페인에서 합법적인 Windows 설치 프로그램 도구의 악성 버전을 사용하여 3D 모델러와 그래픽 디자이너를 표적으로 삼는 공격자가 발견되었습니다.

한 달 전, 연구원들은 암호화폐 절도 및 기타 재정적 동기를 지닌 사기를 목적으로 Android 사용자를 표적으로 삼은 CherryBlos 및 FakeTrade라는 두 가지 관련 악성 코드 캠페인을 발견했습니다.

북한의 위협이 커지고 있다

Mandiant의 최근 보고서는 조선민주주의인민공화국(DPRK) 내 다양한 ​​APT의 전례 없는 협력으로 인해 추적이 더욱 어려워지고 전략적 대응 노력이 요구되는 공격적이고 복잡한 사이버 공격의 발판이 마련되었다고 경고했습니다.

예를 들어, 북한 지도자 김정은은 Kimsuky라는 이름의 스위스 군용 칼 APT를 보유하고 있는데, 이 APT는 계속해서 전 세계에 덩굴손을 퍼뜨리고 있으며, 이는 연구원들이 다가오는 것에 겁을 내지 않는다는 것을 나타냅니다. Kimsuky는 다음을 포함하여 많은 반복과 진화를 거쳤습니다. 두 개의 하위 그룹으로 완전히 분할됩니다.

한편, Lazarus 그룹은 스페인 항공우주 회사의 성공적인 사이버 손상에서 처음 발견된 복잡하고 계속 진화하는 새로운 백도어를 악성 코드 무기고에 추가한 것으로 보입니다.

Leave A Reply

Your email address will not be published.