북한 해커, macOS를 타깃으로 한 혁신적인 맬웨어 배포
사이버 보안 전문가들은 북한 해커들이 국가 이니셔티브를 지원하고 국제 제재를 회피하기 위해 자금을 횡령하는 것을 주 목적으로 하는 뻔뻔스러운 사이버 침입을 일관되게 지적해 왔습니다. Jamf 가 실시한 최근 연구 에서는 이러한 악의적인 행위자와 관련된 정교한 맬웨어 변종이 밝혀졌습니다. 이 특정 맬웨어는 악성 콘텐츠에 대한 파일을 검사하는 데 사용되는 인기 있는 서비스인 VirusTotal에서 발견되었습니다. 흥미롭게도 이 맬웨어는 처음에는 “깨끗함”으로 분류되었습니다. 이 악성 소프트웨어는 세 가지 다른 버전으로 제공됩니다. 하나는 Go로 개발되었고, 다른 하나는 Python으로 개발되었으며, 세 번째는 Flutter를 활용했습니다.
플러터: 개발자와 사이버 범죄자를 위한 양날의 검
Google에서 만든 오픈소스 프레임워크인 Flutter를 사용하면 개발자가 단일 Dart 코드베이스에서 iOS 및 Android와 같은 여러 플랫폼용 애플리케이션을 제작할 수 있습니다. 이 크로스 플랫폼 유틸리티는 Flutter를 합법적인 개발자에게 귀중한 자산으로 만들지만 사이버 범죄자에게는 매력적인 옵션이기도 합니다. Flutter의 본질적으로 복잡한 코드 구조는 맬웨어를 가려서 보안 시스템이 잠재적 위협을 감지하기 어렵게 만들 수 있습니다.
위장된 위협: 복제된 게임
이 맬웨어는 GitHub에서 복제된 평범한 지뢰찾기 게임의 모습을 하고 있었습니다. 악의적인 의도는 Dynamic Library(dylib) 파일에 숨겨져 있었는데, 이 파일은 .에 위치한 명령 및 제어(C2) 서버와 연결을 설정하려고 했습니다 mbupdate.linkpc.net. 이 도메인은 이전에 북한 맬웨어와 관련이 있었습니다. 다행히 Jamf 팀이 조사했을 때, 해당 서버가 휴면 상태였고 “404 Not Found” 오류만 반환하여 공격이 실현되지 않았다는 것을 발견했습니다.

기만적 실행 및 잠재적 위험
이 맬웨어의 특히 영리한 측면 중 하나는 C2 서버에서 전송된 AppleScript 명령을 실행하는 능력으로, 감지를 피하기 위해 역순으로 실행하는 독특한 기술을 사용합니다. Jamf의 실험은 맬웨어가 모든 AppleScript 명령을 원격으로 실행할 수 있는 기능을 확인했습니다. 여기에는 공격 실행이 진행되었을 경우 해커가 감염된 시스템을 광범위하게 제어할 수 있는 명령도 포함됩니다.
결론 및 권장 사항
이 사건은 해커들이 Apple의 보안 조치를 회피하기 위한 기술을 연마하고 있다는 것을 보여주는 예비 테스트인 듯합니다. Flutter 자체는 악의적이지 않지만, 그 설계는 본질적으로 유해한 코드를 숨기는 데 도움이 되며, 합법적인 개발 도구가 악의적인 목적으로 재활용되는 우려스러운 추세를 강조합니다. 사이버 보안 위협이 진화함에 따라, 특히 기업 환경에 있는 사용자는 경계를 유지하고 보안을 위한 모범 사례를 채택하는 것이 필수적입니다.