북한 해킹그룹, 맥OS 사용자 겨냥한 악성코드 제작…주의

 라자루스, 채용 담당자로 가장해 소프트웨어 개발자 악성코드에 감염시키거나 가짜 이력서로 기업에 침투

북한의 국가 지원 라자루스 해커그룹이 BeaverTail 악성코드를 업그레이드해 macOS 사용자를 겨냥한 공격을 시도하고 있다. 합법적인 소프트웨어로 위장한 악성코드를 이용해 구직자와 암호화폐 거래자들을 대상으로 한 사이버 스파이 활동을 강화하고 있다.

업데이트된 BeaverTail 악성코드는 "MiroTalk.dmg"라는 이름의 macOS 디스크 이미지(DMG) 파일로 위장하고 있다. 이는 실제 MiroTalk 화상 통화 서비스를 모방한 것으로, 다운로드 및 실행 시 브라우저, iCloud 키체인, 암호화폐 지갑에서 민감한 데이터를 탈취하는 기능을 갖추고 있다.

보안연구원들은 BeaverTail의 배포 방법에 변화가 있는 것도 확인했다. 이전에는 깃허브 및 npm 패키지 레지스트리에 호스팅된 가짜 npm 패키지를 통해 악성코드를 배포했으나, 이제는 직접적인 사회 공학 공격을 활용하고 있다. 해커들은 채용 담당자로 가장해 피해자에게 감염된 MiroTalk 애플리케이션을 다운로드하도록 유도하고 있다.

2023년 11월 팔로알토 네트웍스 유닛42에 의해 처음 발견된 BeaverTail은 자바스크립트 기반의 정보 탈취 악성코드다. 이 악성코드는 정보를 탈취하는 것 외에도, 애니데스크를 다운로드해 지속적인 원격 액세스를 제공하는 파이썬 백도어인 InvisibleFerret과 같은 추가 페이로드를 전달할 수 있다.

이 macOS를 겨냥한 공격은 악명 높은 라자루스 그룹과 관련된 북한 해커들의 광범위한 공격 캠페인의 일부다. 예를 들어 "Contagious Interview" 캠페인은 해커들이 채용 담당자로 가장해 가짜 면접 절차를 통해 소프트웨어 개발자를 악성코드에 감염시키는 방식이다. 또 다른 "Wagemole" 캠페인은 여러 개의 가짜 이력서와 채용 제안을 만들어 기업에 침투하는 것을 목표로 하고 있다.

Jamf와 센티넬원 등 사이버 보안 회사들은 ObjCShellz 및 SpectralBlur와 같은 관련 악성코드 변종을 발견하면서 이러한 공격 방법이 계속 진화하고 있음을 보고하고 있다. 이 악성코드 변종들은 공격자의 서버로부터 쉘 명령을 실행하고 감염된 시스템에서 지속성을 유지하도록 설계되어 있다.

macOS에 대한 해커들의 관심이 크게 증가하면서, 사용자들은 더욱 경각심을 가져야 한다. 애플의 강력한 보안 조치에도 불구하고, 이러한 정교한 사회 공학 기법과 진화하는 악성코드는 지속적으로 도전하고 있다. 특히 암호화폐와 소프트웨어 개발에 관여하는 macOS 사용자들에게는 이러한 공격이 큰 위협이 되고 있기 때문에 각별히 주의해야 한다. 그리고 국내 맥 사용자들 또한 각별히 주의를 기울여야 한다.