북한 해커들이 맥 맬웨어로 암호화폐를 겨냥하다

사이버 보안 회사 Huntress는 암호화폐 분야의 맥 사용자들을 겨냥한 매우 정교한 해킹 캠페인을 발견했습니다. 이 캠페인은 딥페이크 줌 통화, 교묘한 사회 공학, 그리고 맥 전용 맬웨어를 활용한 비정상적으로 정교한 작전이었습니다.

Huntress는 파트너가 의심스러운 활동을 보고한 후 2025년 6월 11일에 침입 조사를 시작했습니다. 이 공격은 북한 해킹 그룹 BlueNoroff(사파이어 슬리트 또는 TA444로도 알려짐)에게 귀속되었으며, 이 그룹은 최소한 2017년부터 재정적 동기를 가진 캠페인으로 암호화폐 분야를 겨냥해 왔습니다.

해커들은 딥페이크 기술을 사용하여 가짜 줌 회의에서 회사 경영진을 사칭함으로써 macOS 사용자를 특별히 겨냥합니다.

사기 작전은 어떻게 작동하는가

모든 것은 암호화폐 재단의 직원(타겟)이 외부 연락처로부터 회의를 요청하는 무해해 보이는 메시지를 텔레그램에서 받으면서 시작되었습니다. 공격자는 구글 미트 통화를 예약하는 것처럼 보이는 Calendly 링크를 공유했지만, 클릭하면 사용자를 위협자가 제어하는 가짜 줌 도메인으로 리디렉션했습니다.

몇 주 후, 직원은 회사의 고위 경영진을 모방한 딥페이크로 가득한 “줌 회의”에 참여했습니다. 회의 중에 직원은 마이크를 사용할 수 없었고, 딥페이크는 그들에게 “줌 확장 프로그램”을 다운로드하라고 지시했습니다. 텔레그램을 통해 전송된 이 확장 프로그램의 링크는 문제 해결 도구로 가장된 악성 AppleScript 파일(zoom_sdk_support.scpt)로 판명되었습니다.

다운로드가 완료되면, AppleScript는 먼저 Zoom SDK를 위한 합법적인 웹페이지를 열었지만, 10,500줄 이상의 빈 줄 이후에 악성 웹사이트 https[://]support[.]us05web-zoom[.]biz에서 페이로드를 다운로드하고 실행했습니다.

Huntress가 조사를 시작했을 때, 최종 페이로드는 이미 공격자의 서버에서 제거되었습니다. 그러나 그들은 맬웨어가 무엇을 하도록 설계되었는지에 대한 귀중한 통찰력을 제공하는 VirusTotal에서 버전을 찾을 수 있었습니다.

“스크립트는 bash 기록 로깅을 비활성화하는 것으로 시작한 다음, Apple Silicon Mac이 x86_64 바이너리를 실행할 수 있도록 하는 Rosetta 2가 설치되어 있는지 확인합니다.”라고 Huntress 연구원들은 수요일 블로그 게시물에서 설명했습니다.

“설치되어 있지 않으면, x86_64 페이로드가 실행될 수 있도록 조용히 설치합니다. 그런 다음 .pwd라는 파일을 생성하는데, 이는 점으로 시작하여 사용자의 시야에서 숨겨집니다. 그리고 악성 가짜 줌 페이지에서 /tmp/icloud_helper로 페이로드를 다운로드합니다.”

맞춤형, 맥 전용 맬웨어

** 표준 상용 맬웨어와는 달리, 이 공격은 최소한 여덟 개의 별도 구성 요소로 구성된 맞춤형 툴킷을 포함하고 있으며, 모두 macOS에 맞게 특별히 조정되었습니다. 이들은 다음과 같습니다:

• Telegram 2: 기본 백도어를 시작하는 역할을 하는 Nim으로 작성된 지속적인 바이너리.
• Root Troy V4 (remoted): 다른 악성 도구를 다운로드하고 실행할 수 있는 Go로 작성된 완전한 기능의 백도어.
• InjectWithDyld (“a”): Root Troy V4에 의해 다운로드된 C++ 바이너리 로더로, 두 개의 추가 임플란트를 복호화하고 로드하는 역할을 합니다.
• Base App: 악성 코드의 주입 대상이 되는 무해해 보이는 Swift 애플리케이션.
• Payload: 감염된 시스템에서 명령을 실행하도록 설계된 Nim으로 작성된 다른 임플란트.
• XScreen (keyboardd): 키 입력, 클립보드 내용 및 화면 활동을 캡처할 수 있는 Objective-C로 작성된 강력한 키로거.
• CryptoBot (airmond): 피해자의 기기에서 암호화폐 관련 파일을 수집하도록 설계된 Go 기반 도구.
• NetChk: 의미 있는 기능이 없는 미끼 바이너리로, 무한히 랜덤 숫자를 생성하며, 아마도 혼란이나 잘못된 방향으로 유도하기 위해 포함되었습니다.

특히, 이 맬웨어는 맥의 디스플레이가 잠자고 있을 때만 명령을 실행하는 등의 교묘한 트릭을 사용하여 탐지를 피했습니다. AppleScript와 프로세스 주입을 사용하여 macOS 보안 계층을 우회하도록 정교하게 설계되었습니다.

macOS 사용자에 대한 경고

역사적으로 macOS는 더 안전한 운영 체제로 여겨졌지만, 그 인식은 점점 구식이 되고 있습니다. 더 많은 기업들이 맥을 채택하고 원격 근무가 표준이 되면서 공격자들은 빠르게 적응하고 있습니다.

“지난 몇 년 동안, 우리는 macOS가 위협 행위자들에게 더 큰 표적이 되는 것을 보았습니다. 특히 고도로 정교한 국가 지원 공격자와 관련하여.”라고 Huntress의 연구원들은 언급했습니다. “이러한 공격과 발생 빈도가 계속 증가함에 따라, 여러분의 맥을 보호하는 것이 더욱 중요해질 것입니다.”

이 캠페인은 한 가지를 분명히 합니다: BlueNoroff와 같은 국가 지원 그룹이 관련될 때, 비디오 통화조차도 항상 보이는 것과 같지 않습니다.