다중 라이센스 할인 견적
위협 데이터베이스 맥 맬웨어 Hidden Risk Malware

Hidden Risk Malware

맥 맬웨어년에 Mezo 년까지
번역 :
한국어

북한 위협 그룹 BlueNoroff의 새로운 캠페인은 macOS 시스템을 타겟으로 하는 정교한 다단계 맬웨어를 사용하여 암호화폐 사업에 초점을 맞추고 있습니다. 연구원들이 Hidden Risk라고 부르는 이 캠페인은 암호화폐 시장의 최근 동향에 대한 조작된 뉴스가 담긴 이메일로 피해자를 유혹합니다. 이러한 공격에 관련된 맬웨어는 macOS에서 혁신적인 지속성 기술을 사용하여 최신 시스템 업데이트에서 감지되지 않도록 설계되어 보안 경고를 효과적으로 우회합니다.

BlueNoroff는 암호화폐 절도로 악명 높은 사이버 범죄 집단으로, 이전에 macOS 시스템을 표적으로 삼았습니다. 과거 공격에서 그들은 ObjCShellz라는 페이로드를 사용했는데, 이를 통해 손상된 Mac에 원격 셸을 구축할 수 있었습니다.

숨겨진 러스크 감염 사슬이 수행되는 방법

공격은 암호화폐 관련 뉴스를 담고 있는 것처럼 보이는 피싱 이메일이 전달되면서 시작되는데, 종종 유명 암호화폐 인플루언서가 전달한 메시지처럼 보여 신뢰성을 더합니다. 이메일에는 중요한 정보가 담긴 PDF로 연결되는 링크가 포함되어 있지만, 실제로는 피해자를 공격자가 제어하는 도메인인 delphidigital.org로 안내합니다.

연구자들은 해당 URL이 현재 제목이 변경된 비트코인 ETF 문서의 무해한 버전을 호스팅하고 있지만, 가끔은 Hidden Risk Behind New Surge of Bitcoin Price.app이라는 안전하지 않은 애플리케이션 번들의 첫 번째 단계로 연결된다는 것을 발견했습니다.

이 캠페인에서 위협 행위자는 텍사스 대학교의 합법적인 학술 논문을 위장으로 사용했습니다. 공격의 첫 번째 단계는 유효한 Apple Developer ID인 'Avantis Regtech Private Limited (2S8XHJ7948)'로 서명 및 공증된 드로퍼 애플리케이션과 관련이 있으며, Apple은 이후 이를 취소했습니다.

실행되면, 드로퍼는 Google Drive 링크에서 미끼 PDF를 다운로드하고 기본 PDF 뷰어에서 열어 피해자의 주의를 산만하게 합니다. 한편, 공격의 다음 단계는 matuaner.com에서 비밀리에 다운로드됩니다. 주목할 점은 공격자가 앱의 Info.plist 파일을 변경하여 도메인에 대한 안전하지 않은 HTTP 연결을 허용하여 Apple의 앱 전송 보안 프로토콜을 효과적으로 우회했다는 것입니다.

숨겨진 위험에 의해 악용되는 새로운 지속성 메커니즘

'growth'라는 이름의 2단계 페이로드는 Intel과 Rosetta 에뮬레이션 프레임워크가 장착된 Apple Silicon 기기에서 작동하는 x86_64 Mach-O 바이너리입니다. Zsh 세션 중에 로드되는 사용자 홈 디렉토리의 숨겨진 .zshenv 구성 파일을 수정하여 지속성을 보장합니다.

성공적인 감염을 확인하고 지속성을 유지하기 위해 맬웨어는 /tmp/ 디렉터리에 숨겨진 '터치 파일'을 생성하여 재부팅이나 사용자 로그인 후에도 페이로드를 활성 상태로 유지하는 데 도움이 됩니다. 이 기술을 사용하면 macOS 13 이상의 지속성 감지 시스템을 우회할 수 있으며, 일반적으로 새 LaunchAgent가 설치되면 사용자에게 경고합니다. 악성 Zshenv 파일로 시스템을 감염시킴으로써 맬웨어는 더 강력한 형태의 지속성을 확립합니다. 이 방법은 완전히 새로운 것은 아니지만 연구자들이 맬웨어 작성자의 라이브 공격에 이 방법이 사용되는 것을 본 것은 처음입니다.

시스템에 침투한 백도어는 명령 및 제어(C2) 서버에 연결하여 60초마다 새로운 명령을 확인합니다. 사용하는 사용자 에이전트 문자열은 2023년 BlueNoroff에 기인한 이전 공격과 관련이 있습니다. 관찰된 명령에는 추가 페이로드를 다운로드하고 실행하고, 파일을 변경하거나 훔치는 셸 명령을 실행하거나 프로세스를 완전히 중지하는 것이 포함됩니다.

전문가들은 Hidden Risk 캠페인이 지난 12개월 동안 활발히 진행되어 왔으며, 다른 북한 해커 작전에서 볼 수 있는 전형적인 소셜 미디어 '그루밍' 전략보다는 더 직접적인 피싱 접근 방식을 취하고 있다고 지적합니다. 연구원들은 또한 BlueNoroff가 새로운 Apple 개발자 계정을 보호하고 페이로드를 공증받을 수 있는 지속적인 능력을 지적하여 macOS Gatekeeper 보호를 우회할 수 있도록 합니다.

트렌드

Diddylliker.com

불량 웹사이트, 애드웨어, 브라우저 하이재커
인터넷 사용자는 웹을 탐색할 때 주의를 기울이는 것이 필수적입니다. Diddylliker.com과 같은 악성 웹사이트는 사용자를 속여 침입성 알림과 리디렉션을 허용하도록 하는 사기성 전술을 사용하여 다양한 온라인 위협에 노출시킵니다. 이러한 사이트가 사용하는 방법을 이해함으로써 사용자는 잠재적으로 해로운 경험을 더 잘 인식하고 피할 수 있습니다....

REVRAC 랜섬웨어

랜섬웨어
사이버 위협으로부터 기기를 보호하는 것은 매우 중요합니다. 맬웨어, 특히 랜섬웨어는 필수 데이터를 잠그고 반환을 위해 돈을 요구함으로써 심각한 혼란을 일으킬 수 있습니다. 그러한 정교한 랜섬웨어 변종 중 하나가 REVRAC입니다. 파일과 시스템을 안전하게 유지하려는 사람이라면 누구나 이 변종이 어떻게 작동하는지, 어떻게 방어하는지 알아야 합니다....

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
75,834
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
63,225
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
로드 중...