북한의 Lazarus 해킹 그룹이 개발한 것으로 추정되는 새로운 macOS 악성 소프트웨어 'KandyKorn'이 발견되었습니다. 이 악성 소프트웨어는 가상화폐 거래 플랫폼의 블록체인 엔지니어를 대상으로 하며, 공격자들은 Discord 채널에서 가상화폐 커뮤니티의 멤버로 위장하여 Python 기반 모듈을 퍼뜨리는 방식으로 KandyKorn 감염을 유발합니다. Elastic Security는 이 공격을 Lazarus 그룹의 소행으로 추정하였는데, 이는 이전 캠페인에서 사용된 기술, 네트워크 인프라, 코드 서명 인증서, 그리고 사용자 정의 Lazarus 탐지 규칙과의 유사성 때문입니다.
공격은 Discord에서 시작되며, 피해자를 속여 'Cross-platform Bridges.zip'이라는 악성 ZIP 아카이브를 다운로드하도록 합니다. 피해자는 이것이 가상화폐 거래에서 자동 수익 생성을 위해 설계된 합법적인 중개 봇이라고 믿게 만들어집니다. 그러나 ZIP 내에 포함된 Python 스크립트('Main.py')는 ZIP 내의 다른 스크립트들로부터 13개의 모듈을 가져와 첫 번째 페이로드인 'Watcher.py'를 실행합니다.
마지막 단계에서는 HLoader라는 로더가 사용되며, 이는 Discord를 가장하고 이전의 Lazarus 캠페인에서 본 macOS 바이너리 코드 서명 기술을 사용합니다. HLoader는 실제 Discord 앱의 이름을 바꾸는 일련의 바이너리 이름 변경 작업을 통해 감염된 시스템에서 SugarLoader에 대한 지속성을 확립합니다.
요약
- 북한의 Lazarus 해킹 그룹이 개발한 것으로 추정되는 새로운 macOS 악성 소프트웨어 'KandyKorn'이 발견되었다.
- 공격자들은 Discord 채널에서 가상화폐 커뮤니티의 멤버로 위장하여 Python 기반 모듈을 퍼뜨리는 방식으로 KandyKorn 감염을 유발한다.
- 공격은 피해자를 속여 'Cross-platform Bridges.zip'이라는 악성 ZIP 아카이브를 다운로드하도록 한다.
- 마지막 단계에서는 HLoader라는 로더가 사용되며, 이는 Discord를 가장하고 이전의 Lazarus 캠페인에서 본 macOS 바이너리 코드 서명 기술을 사용한다.
- HLoader는 실제 Discord 앱의 이름을 바꾸는 일련의 바이너리 이름 변경 작업을 통해 감염된 시스템에서 SugarLoader에 대한 지속성을 확립한다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.