북한의 라자루스 그룹의 새로운 macOS 악성코드 캠페인
북한의 라자루스 그룹이 “Mach-O Man”이라는 이름의 macOS 악성코드를 배포하며 암호화폐 임원들을 겨냥하고 있습니다. 이들은 가짜 회의 초대를 통해 피해자들을 속이고, 아홉 자리 수의 DeFi 공격 자금을 조달하고 있습니다.
라자루스는 북한 정부의 지원을 받는 해킹 조직으로, 블록체인 보안 회사 CertiK에 따르면 최근 핀테크 및 암호화폐 임원들을 대상으로 한 새로운 macOS 악성코드 캠페인을 시작했습니다. “Mach-O Man” 작전은 사회 공학 기법과 터미널 수준의 페이로드를 결합하여 암호화폐 및 민감한 기업 데이터를 훔치면서 거의 흔적을 남기지 않습니다.
CertiK 연구자들은 이 캠페인이 ClickFix 기법에 의존하고 있으며, 피해자들이 가짜 지원 요청이나 회의 중에 “수리” 또는 “검증” 명령처럼 보이는 것을 macOS 터미널에 직접 붙여넣도록 유도한다고 밝혔습니다.
이러한 유인책은 피해자들이 Mac 터미널에 악성 수리 명령을 붙여넣도록 속이는 가짜 온라인 회의 초대 형태로 제공되며, 툴킷은 사용 후 자동으로 삭제되어 포렌식 조사를 방해합니다.
위협 정보 회사 SOC Prime에 따르면, “Mach-O Man” 프레임워크는 라자루스의 유명한 초리마 부대와 관련이 있으며, 해킹된 텔레그램 계정과 고가치 암호화폐 및 금융 조직을 겨냥한 가짜 회의 초대를 통해 배포됩니다.
CoinDesk에 따르면 이 툴킷은 호스트를 프로파일링하고 지속성을 확립하며, 텔레그램 기반의 명령 및 제어를 통해 자격 증명과 브라우저 데이터를 유출하기 위해 설계된 여러 Mach-O 바이너리를 포함하고 있습니다.
구글 클라우드의 만디언트는 이전에 ClickFix와 AI 지원 비디오 딥페이크, 가짜 줌 통화 및 해킹된 메시징 계정을 혼합한 유사한 macOS 캠페인을 설명했습니다. 만디언트 연구자들은 “이 캠페인은 해킹된 텔레그램 계정, 가짜 줌 회의 및 AI 지원 기만을 사용하여 피해자들이 터미널 명령을 실행하도록 속여 macOS 감염 체인을 유도했다”고 밝혔습니다.
CertiK 연구원 Natalie Newson은 최신 “Mach-O Man” 파동을 라자루스의 더 넓은 공격으로 연결지었으며, 이는 단 2주 만에 DeFi 플랫폼 Drift와 KelpDAO에서 5억 달러 이상을 siphoned 했습니다.
이 사건에서 라자루스는 거래 회사에 대한 사회 공학과 공격자가 약 116,500 rsETH를 발행하고 약 2억 9천 2백만 달러의 가치를 빼앗을 수 있게 해주는 정교한 크로스 체인 익스플로잇을 결합했다고 합니다.
KelpDAO에서 사용되는 브리지 인프라를 제공하는 LayerZero는 북한의 라자루스 그룹이 rsETH 익스플로잇의 “가능한 행위자”라고 밝혔으며, 위조된 크로스 체인 메시지를 가능하게 한 단일 실패 지점 검증 설계를 비난했습니다.
“라자루스는 수년간 암호화폐 생태계를 겨냥해 왔으며, 2023년과 2024년에 약 20억 달러의 가상 자산을 훔쳤다”고 보안 매체 SecurityWeek가 이전 ClickFix 지원 캠페인을 인용하며 보도했습니다.
DeFi가 이미 해킹으로 인해 기록적인 최악의 달을 겪고 있는 가운데, 시장은 올해 또 다른 1억 달러 이상의 익스플로잇을 가격에 반영하고 있으며, 라자루스와 같은 국가 연계 공격자들이 암호화폐 위험에 체계적으로 연결되고 있음을 강조하고 있습니다.
