TodoSwift Mac 맬웨어

번역 :

사이버보안 연구원들은 TodoSwift라는 새로운 종류의 macOS 맬웨어를 발견했는데, 이는 북한 해킹 그룹과 관련이 있는 것으로 알려진 맬웨어와 특성을 공유합니다.

이 애플리케이션은 이전에 북한(DPRK)에 기인한 맬웨어와 유사한 여러 가지 동작을 보이는데, 특히 KANDYKORN 및 RustBucke 와 같은 맬웨어와 관련된 BlueNoroff 위협 그룹입니다. 2023년 7월에 처음 보고된 RustBucket은 명령 및 제어(C2) 서버에서 추가 페이로드를 검색하도록 설계된 AppleScript 기반 백도어입니다.

북한 관련 맬웨어 위협

작년 말, 연구원들은 KANDYKORN이라는 또 다른 macOS 맬웨어를 발견했는데, 이는 이름이 알려지지 않은 암호화폐 거래소의 블록체인 엔지니어를 표적으로 삼은 사이버 공격에 사용되었습니다.

KANDYKORN은 복잡한 다단계 감염 체인을 통해 전달되며 피해자의 컴퓨터에서 데이터에 액세스하고 빼낼 수 있도록 장착되어 있습니다. 또한 임의의 프로세스를 종료하고 호스트 시스템에서 명령을 실행할 수 있습니다.

두 맬웨어 패밀리의 주요 유사점은 명령 및 제어(C2) 작업에 linkpc.net 도메인을 사용한다는 것입니다. RustBucket과 KANDYKORN은 모두 BlueNoroff로 알려진 하위 클러스터를 포함하여 Lazarus Group 의 작품으로 여겨집니다.

북한은 라자루스 그룹과 같은 조직을 통해 암호화폐 산업에 종사하는 기업을 계속 표적으로 삼아, 경제 성장과 야망을 제한하는 국제 제재를 우회하여 암호화폐를 수확하고자 합니다.

TodoSwift 공격 체인

TodoSwift 공격에서 위협 행위자들은 공개 채팅 서버에서 블록체인 엔지니어를 표적으로 삼고 그들의 기술과 관심사에 맞는 미끼를 사용하여 금전적 보상을 약속했습니다.

최근의 조사 결과에 따르면 TodoSwift는 TodoTasks라는 서명된 파일로 배포되며, 여기에는 드로퍼 구성 요소가 포함되어 있습니다. 이 구성 요소는 SwiftUI로 빌드된 GUI 애플리케이션으로, 피해자에게 무기화된 PDF 문서를 제시하고 2단계 바이너리를 비밀리에 다운로드하여 실행하도록 설계되었으며, 이 기술은 RustBucket에서도 사용됩니다.

PDF 미끼는 Google Drive에 호스팅된 무해한 비트코인 관련 문서인 반면, 위협적인 페이로드는 행위자가 제어하는 도메인인 'buy2x.com'에서 검색됩니다. 이 페이로드는 시스템 정보를 수집하고 추가 맬웨어를 배포하도록 제작되었습니다.

일단 설치되면, 이 맬웨어는 OS 버전과 하드웨어 모델과 같은 기기의 세부 정보를 수집하고, API를 통해 C2(Command-and-Control) 서버와 통신하고, 기기의 실행 파일에 데이터를 쓸 수 있습니다. 미끼에 Google Drive URL을 사용하고 C2 URL을 2단계 바이너리에 대한 실행 인수로 전달하는 것은 macOS 시스템을 타겟으로 하는 이전의 DPRK 맬웨어에서 볼 수 있었던 전술과 일치합니다.