GhostCall 맬웨어 캠페인

사이버 보안 연구원들이 웹 3.0과 블록체인 분야를 노리는 정교한 캠페인인 '고스트콜(GhostCall)'을 발견했습니다. 이 작전은 최소 2017년부터 활동해 온 북한 관련 대규모 사이버 공격 프로그램인 '스내치크립토(SnatchCrypto)'의 일환입니다. 이 위협은 라자루스 그룹(Lazarus Group)의 하위 그룹인 블루노로프(BlueNoroff)에 기인하는 것으로 추정되며, 블루노로프는 APT38, 케이지카멜레온(CageyChameleon), 크립토코어(CryptoCore), 지니 스파이더(Genie Spider), 니켈 글래드스톤(Nickel Gladstone), 사파이어 슬리트(Sapphire Sleet), 스타더스트 천리마(Stardust Chollima) 등 여러 가명으로도 알려져 있습니다.

이 캠페인의 피해자는 일본, 이탈리아, 프랑스, 싱가포르, 터키, 스페인, 스웨덴, 인도, 홍콩의 여러 macOS 호스트에서 확인되었습니다.

정교한 사회 공학 및 피싱 기술

GhostCall은 기술 기업 및 벤처 캐피털 회사 임원의 macOS 기기를 주로 노립니다. 공격자는 Telegram과 같은 플랫폼을 통해 대상에게 직접 연락하여 Zoom과 유사한 피싱 웹사이트에서 진행되는 투자 관련 회의에 초대합니다.

공격의 주요 측면:

• 피해자들은 딥페이크가 아닌 다른 피해자들의 실제 녹음이 담긴 가짜 통화에 참여합니다.
• 통화 중에 사용자는 악성 스크립트를 통해 Zoom이나 Teams를 '업데이트'하라는 메시지를 받습니다.
• 스크립트는 호스트에서 다단계 감염 체인을 시작하는 ZIP 파일을 다운로드합니다.

이 캠페인은 2023년 중반부터 활동해 왔으며, 이는 해당 그룹이 macOS 중심 공격으로 전략적 전환을 단행한 RustBucket 캠페인 이후일 가능성이 높습니다. 이후 배포된 악성코드에는 KANDYKORN, ObjCShellz, TodoSwift 등이 있습니다.

사기성 가짜 Zoom 및 Teams 페이지

GhostCall 피싱 페이지에 접속한 대상은 처음에는 실제 통화처럼 보이는 화면을 보게 되며, 곧 오류 메시지가 표시됩니다. 이 메시지는 사용자에게 통화를 계속하려면 Zoom 또는 Teams 소프트웨어 개발 키트(SDK)를 다운로드하라는 메시지를 표시합니다.

• macOS에서 '지금 업데이트'를 클릭하면 악성 AppleScript가 다운로드됩니다.
• Windows에서 공격자는 ClickFix 기술을 사용하여 PowerShell 명령을 실행합니다.
• 가짜 사이트와의 모든 상호작용이 추적되어 공격자는 피해자의 행동을 모니터링할 수 있습니다.

이 캠페인은 이후 Zoom에서 Microsoft Teams로 확대되었으며, TeamsFx SDK를 다운로드하여 감염 사슬을 계속 이어갔습니다.

맬웨어 및 감염 체인

플랫폼에 관계없이 AppleScript는 가짜 Zoom 또는 Teams 앱을 설치하고, 비밀번호 관리자에서 비밀번호를 수집하고 루트 권한으로 추가 악성코드를 설치하는 DownTroy를 다운로드합니다. GhostCall은 다음을 포함한 8가지 공격 체인을 활용합니다.

ZoomClutch / TeamsClutch – Zoom이나 Teams로 위장한 Swift 기반 임플란트; 유출을 위해 시스템 비밀번호를 요구합니다.

DownTroy v1 – Go 기반 드로퍼는 AppleScript 기반 DownTroy를 실행하여 재부팅될 때까지 추가 스크립트를 다운로드합니다.

CosmicDoor – C++ 로더(GillyInjector)는 Nim 백도어를 삽입합니다. 파괴적인 파일 삭제가 가능하며 SilentSiphon을 다운로드합니다.

RooTroy – Nimcore 로더가 장치 정찰 및 맬웨어 실행을 위해 Go 백도어를 주입합니다.

RealTimeTroy – Nimcore 로더가 Go 백도어를 주입합니다. 파일 및 시스템 제어를 위해 WSS 프로토콜을 통해 통신합니다.

SneakMain – Nimcore 로더를 통해 실행되는 Nim 페이로드로, 추가적인 AppleScript 명령을 실행합니다.

DownTroy v2 – CoreKitAgent 드로퍼는 AppleScript 기반 DownTroy(NimDoor)를 실행하여 추가 스크립트를 검색합니다.

SysPhon – RustBucket 계열의 C++ 다운로더. 정찰 및 바이너리 검색에 사용됩니다.

또한 SilentSiphon은 다음으로부터 민감한 데이터를 수집합니다.

• Apple Notes, Telegram, 웹 브라우저 확장 프로그램, 비밀번호 관리자
• 개발자 및 클라우드 플랫폼: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
• 블록체인 플랫폼: Sui, Solana, NEAR, Aptos, Algorand
• 시스템 도구: Docker, Kubernetes, OpenAI

조작된 회의를 통한 정찰

가짜 회의의 비디오 피드는 공격자가 녹화한 것이고, 참석자들의 프로필 이미지는 LinkedIn, Crunchbase, X(트위터)와 같은 전문가 네트워크에서 가져온 것입니다. 일부 이미지는 GPT-4o를 사용하여 보정하여 소셜 엔지니어링 수법에 현실감을 더했습니다.

고스트콜은 웹 3.0과 벤처 캐피털 경영진을 표적으로 삼는 사이버 위협의 진화를 보여주는 대표적인 사례로, 첨단 소셜 엔지니어링, 크로스 플랫폼 멀웨어, 그리고 정교한 데이터 수집 기법이 결합되어 있습니다. 이러한 북한 관련 공격에 대응하기 위해서는 경계 태세와 다층적 방어 체계가 필수적입니다.