북한 해커들의 새로운 사이버 공격
북한 해커들이 NimDoor라는 정교한 악성코드 변종을 배포하여 암호화폐 회사를 겨냥한 새로운 사이버 공격 캠페인을 시작했습니다. 이 악성코드는 애플 기기에 침투하여 내장된 메모리 보호를 우회하고, 암호화폐 지갑과 브라우저에서 민감한 데이터를 추출하도록 설계되었습니다.
공격 방식
공격은 해커들이 신뢰할 수 있는 연락처로 가장하여 피해자와 대화를 나누는 소셜 엔지니어링 전술로 시작됩니다. 그들은 이후 목표를 가짜 Zoom 회의에 초대하고, 합법적인 Zoom 업데이트를 모방한 파일을 전송합니다. 이 파일은 악성 페이로드를 전달하는 역할을 합니다.
“이 악성코드는 피해자의 기기에 NimDoor를 설치하고, 민감한 정보를 수집하기 시작하며, 특히 암호화폐 지갑과 저장된 브라우저 자격 증명을 목표로 합니다.”
Nim 프로그래밍 언어의 사용
사이버 보안 회사 SentinelLabs의 연구자들은 이 새로운 전술을 발견했으며, Nim 프로그래밍 언어의 사용이 이 악성코드를 차별화한다고 언급했습니다. Nim으로 컴파일된 바이너리는 macOS를 겨냥하는 경우가 드물어, 전통적인 보안 도구에 의해 인식되기 어려워 분석 및 탐지가 더 어려울 수 있습니다.
연구자들은 북한의 위협 행위자들이 이전에 Go와 Rust와 같은 프로그래밍 언어를 실험했지만, Nim으로의 전환은 크로스 플랫폼 기능 덕분에 전략적 이점을 반영한다고 관찰했습니다. 이는 동일한 코드베이스가 수정 없이 Windows, Linux 및 macOS에서 실행될 수 있게 하여 공격의 효율성과 범위를 증가시킵니다.
악성 페이로드의 구성
악성 페이로드에는 브라우저 및 시스템 수준 데이터를 은밀하게 수집하고 정보를 묶어 공격자에게 전송하는 자격 증명 도용 구성 요소가 포함되어 있습니다. 또한 연구자들은 악성코드 내에서 Telegram을 겨냥하여 암호화된 로컬 데이터베이스와 해당 복호화 키를 추출하는 스크립트를 확인했습니다.
특히, 이 악성코드는 보안 스캐너를 피하기 위한 노력으로 보이는 10분의 지연 활성화 메커니즘을 사용합니다.
