NokNok Mac 맬웨어
이란의 APT35로 식별된 국가 사이버 범죄 행위자는 Windows 및 macOS 운영 체제 모두에 영향을 미치는 표적 스피어 피싱 공격과 관련이 있습니다. 이러한 공격은 특수한 맬웨어 도구를 사용하여 시스템에 침투하는 것을 목표로 합니다. APT35 공격을 분석한 결과 해커는 고유한 감염 체인을 구축하기 위해 다양한 클라우드 호스팅 제공업체를 고용한 것으로 나타났습니다.
사이버 범죄자들은 또한 이전에 알려지지 않은 두 가지 맬웨어 위협을 사용했습니다. Windows 시스템에서 APT35는 새로 발견된 GorjolEcho라는 PowerShell 백도어를 활용했습니다. 또는 피해자가 Apple 기기를 사용하는 것으로 밝혀지면 해커는 NokNok으로 추적되는 Mac 맬웨어 위협과 관련된 수정된 감염 체인으로 전환했습니다.
이는 액터가 macOS에 특정한 취약점을 악용하려는 시도를 보여줍니다.
APT35 사이버 범죄 그룹, 스피어 피싱 기술을 지속적으로 발전시키다
Charming Kitten, TA453, Mint Sandstorm 및 Yellow Garuda로도 알려진 APT35는 이란의 이슬람 혁명수비대(IRGC)와 연계된 주요 위협 그룹입니다. 이 그룹은 최소 2011년부터 활동해 왔으며 개인 및 조직을 대상으로 하는 다양한 사이버 작전에 참여하고 있습니다. 끈질기게 스파이 활동을 추구하면서 APT35는 다중 개인 사칭(multi-persona impersonation)이라는 전술을 사용했습니다. 이 전술에는 위협 행위자가 다중 신원을 가장하여 대상을 속이고 민감한 정보에 대한 무단 액세스 권한을 얻는 것이 포함됩니다.
APT35가 사용하는 이러한 정교한 기술은 표적 사이버 스파이 활동을 수행하기 위한 그들의 지속적인 노력을 강조합니다. 이 그룹은 중요한 대상을 전략적으로 선택하고 피싱 및 맞춤형 도구 활용과 같은 다양한 전술을 사용하여 시스템을 손상시키고 중요한 정보에 대한 무단 액세스 권한을 얻습니다. APT35는 GhostEcho 또는 CharmPower라고도 하는 POWERSTAR 로 알려진 PowerShell 임플란트의 향상된 버전을 활용하여 전술을 업데이트한 것으로 관찰되었습니다.
2023년 5월 중순에 발생한 특정 공격 시퀀스에서 APT35의 위협 행위자는 피싱 캠페인을 시작했습니다. 그들의 목표는 미국에 기반을 둔 외교 문제에 초점을 맞춘 싱크 탱크와 관련된 핵 안보 전문가였습니다. 이 공격은 Google Script 매크로로 위장한 악성 링크가 포함된 사기성 이메일을 보내는 것을 수반했습니다. 링크를 클릭하면 대상이 RAR 아카이브를 호스팅하는 Dropbox URL로 리디렉션됩니다.
APT35는 다양한 공격 체인을 사용하여 NokNok 멀웨어로 Apple 사용자를 감염시켰습니다.
선택한 대상이 Apple 기기를 사용하는 경우 APT35는 방법을 조정하고 2차 전술을 실행한 것으로 알려졌습니다. 여기에는 Mach-O 바이너리 파일이 통합된 ZIP 아카이브가 포함된 두 번째 이메일을 보내는 것이 포함되었습니다. 이 파일은 VPN 애플리케이션으로 위장했지만 실제로는 AppleScript로 작동했습니다. 실행되면 이 스크립트는 NokNok이라는 백도어의 다운로드를 시작하기 위해 원격 서버와의 연결을 설정합니다.
NokNok 백도어는 설치 시 다양한 기능을 가진 최대 4개의 모듈을 검색합니다. 이러한 모듈을 사용하면 실행 중인 프로세스, 설치된 응용 프로그램 및 시스템 메타데이터와 같은 정보를 수집할 수 있습니다. 또한 LaunchAgent를 활용하여 손상된 시스템 내에서 지속성 설정을 용이하게 합니다.
특히, 이러한 모듈의 기능은 이전에 APT35에서 사용했던 것으로 확인된 도구인 POWERSTAR와 관련된 모듈과 놀라울 정도로 유사합니다. 이는 두 멀웨어 변종의 기능과 목적이 상당히 겹친다는 것을 나타냅니다. 또한 NokNok은 이전에 2017년 동일한 사이버 범죄 그룹에 기인한 macOS 맬웨어와 코드 유사성을 보여줍니다.
전술을 더욱 강화하기 위해 해커는 사기성 파일 공유 웹사이트도 구축했습니다. 이 웹 사이트는 방문자의 지문을 수집하고 잠재적 피해자에 대한 정보를 수집하며 공격 성공을 모니터링하는 추적 메커니즘 역할을 할 수 있습니다.
TA453이 채택한 이러한 적응 기술은 Apple 사용자를 대상으로 하고 시스템을 악용하려는 지속적인 노력을 보여줍니다. 정기적인 소프트웨어 업데이트, 신뢰할 수 있는 바이러스 백신 솔루션 사용, 전자 메일 첨부 파일과 상호 작용하거나 신뢰할 수 없는 소스에서 파일을 다운로드할 때 주의를 기울이는 것과 같은 강력한 보안 관행을 유지하는 것의 중요성을 강조합니다. 진화하는 위협에 대한 정보를 유지하고 포괄적인 보안 조치를 구현함으로써 사용자는 APT35와 같은 위협 행위자의 활동으로부터 자신을 더 잘 보호할 수 있습니다.
