보안 연구원들은 APT 그룹 Charming Kitten의 새로운 공격을 식별했다. 이 그룹은 macOS 시스템을 대상으로 새로운 NokNok 악성코드를 사용한 것으로 보고되었다.기존에 관찰된 것과 달리 이번 악성 캠페인은 링크 파일을 통해 페이로드를 전달하고 있다. Charming Kitten은 APT42 혹은 Phosphorus로도 알려져 있으며, 2015년 이후로 적어도 14개국에서 30회 이상의 작전을 수행한 것으로 알려져 있다. 이들은 주로 미국의 핵 전문가로 위장하여 공격 대상에게 제안서 작성 제안 등으로 접근하였다.
Charming Kitten는 공격 대상에게 신뢰를 얻기 위해 다른 가상 인물을 대화에 끌어들였다. 이렇게 신뢰관계를 이룬 후, 공격자는 공격 대상에게 악성 링크를 전송한다. 이 링크는 구글 스크립트 매크로를 사용하며, 피해자를 Dropbox URL로 리디렉션한다. 이 URL에는 암호화된 RAR 아카이브 파일이 존재하며, 이 파일은 PowerShell 코드와 LNK 파일을 사용하여 클라우드 호스팅 제공자로부터 악성 소프트웨어를 배포한다.
피해자가 macOS를 사용한다면, 공격자는 공격을 시도하며 RUSI VPN 앱을 위장한 ZIP 파일의 다운로드 링크를 제공한다. 이 ZIP 파일에는 애플 스크립트 파일이 포함되어 있으며, 이 파일을 실행하면 curl 명령으로 NokNok 악성코드 페이로드를 불러 오고 피해자의 시스템에 백도어를 설치한다. 즉, 이 캠페인은 Charming Kitten이 macOS 시스템을 대상으로 악성코드를 설치하며, macOS 사용자에 대한 악성 캠페인 위협이 점점 커지고 있음을 보여준다.
요약
- APT 그룹 Charming Kitten은 macOS 시스템을 대상으로 하는 새로운 NokNok 악성코드 배포 캠페인을 진행했다.
- 캠페인은 링크 파일을 통해 악성 소프트웨어 페이로드를 전달하는 새로운 감염 경로를 사용하였다.
- macOS 사용자를 대상으로 한 이 같은 공격은 macOS 사용자에게 복잡한 악성 소프트웨어 캠페인의 위협이 늘어나고 있음을 보여 준다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.