북한의 위협적인 행위자들이 Flutter로 만들어진 트로이목마화된 메모장 앱과 지뢰찾기 게임을 이용해 애플 macOS 시스템을 공격하고 있습니다. 이 앱들은 합법적인 애플 개발자 ID로 서명되고 공증되어, 일시적으로라도 애플의 보안 검사를 통과했습니다. 따라서 macOS 시스템은 이들을 검증된 것으로 간주하고 제한 없이 실행을 허용합니다. 앱 이름은 암호화폐 테마를 중심으로 하며, 이는 북한 해커들의 금융 도둑질에 대한 관심과 일치합니다.
2024년 11월부터 Jamf는 VirusTotal에서 모든 AV 스캔에 완전히 무해하게 보이는 여러 앱을 발견했습니다. 이들 앱은 모두 Google의 Flutter 프레임워크를 사용하여 macOS용으로 제작되었으며, Dart 프로그래밍 언어로 작성된 단일 코드베이스를 사용하여 다른 운영 체제용으로 네이티브로 컴파일된 앱을 생성할 수 있습니다. 이러한 접근 방식은 악성 코드 작성자에게 유연성을 제공할 뿐만 아니라, Flutter 엔진이 런타임에 로드하는 동적 라이브러리(dylib) 내에 악성 코드가 포함되어 있기 때문에 악성 코드를 감지하기 어렵게 만듭니다.
Jamf는 'New Updates in Crypto Exchange (2024-08-28).app'라는 Flutter 기반 앱을 분석한 결과, dylib의 난독화된 코드가 AppleScript 실행을 지원하며, 명령 및 제어(C2) 서버에서 보낸 스크립트를 실행할 수 있음을 발견했습니다. 애플은 Jamf가 발견한 앱의 서명을 취소했으므로, 최신 macOS 시스템에서 로드될 경우 Gatekeeper 방어를 우회할 수 없습니다. 그러나 이러한 앱들이 실제 작업에서 사용되었는지, 아니면 보안 소프트웨어를 우회하는 기법을 평가하기 위한 "실제" 테스트에서만 사용되었는지는 불명확합니다.
요약
- 북한 해커들이 Flutter로 만든 트로이목마화된 앱을 이용해 애플 macOS 시스템을 공격하고 있다.
- 이 앱들은 합법적인 애플 개발자 ID로 서명되고 공증되어, 일시적으로라도 애플의 보안 검사를 통과했다.
- Jamf는 이러한 앱들이 실제 작업에서 사용되었는지, 아니면 보안 소프트웨어를 우회하는 기법을 평가하기 위한 "야생" 테스트에서만 사용되었는지는 불명확하다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.