?? ???? ?? APT ??? ?? ?3 ? ???? ????? ??? ?? ????? ????? ???? ?? ??? ????? ??? ‘?’?? ??? ??? ??? ???? ???? ??? ????. Credit: BeeBright / Shutterstock 북한 위협 행위자는 웹3 및 암호화폐 산업에 속한 기업을 대상으로, 일반적으로 사용되지 않는 비주류 언어인 님(Nim)으로 작성된 맥OS 전용 백도어를 활용한 공격을 수행하고 있다. 이들은 또한 초기 페이로드로 가짜 줌(Zoom) 업데이트를 포함한 애플스크립트(AppleScript) 스크립트도 함께 사용하고 있다. 보안 기업 센티널원(SentinelOne)은 2일 공개된 “북한과 연계된 공격자는 과거에도 고, 러스트와 같은 언어를 활용해 스크립트와 바이너리를 결합한 다단계 공격을 시도해 왔다”라며 “님은 컴파일 시점에서 함수 실행이 가능해 복잡한 동작을 덜 눈에 띄게 이진 코드에 숨길 수 있으며, 이로 인해 개발자 코드와 런타임 코드가 함수 수준에서도 혼합되는 특징이 있다”라고 분석했다. 암호화 자산을 보유한 조직이나 고가치 인물을 표적으로 삼는 것은 북한 정부와 연계된 APT 그룹에게 흔한 일이다. 이들 그룹은 정부 자금을 조달하고, 동시에 자체 작전을 위한 재원을 스스로 마련하는 임무를 맡고 있다. 이에 따라 북한 해커들은 전통적인 사이버 첩보 및 파괴 활동은 물론, 암호화폐 탈취, 금융기관 침해를 통한 불법 자금 이체, 랜섬웨어 유포 등 각종 금전적 범죄에도 적극 관여하고 있다 ‘줌 회의 초대장’으로 사용자 유인 이번 공격은 4월부터 시작됐으며, 헌터빌.IT(Huntabil.IT)와 헌트리스(Huntress)가 먼저 발견해 분석을 진행했다. 공격자는 2017년부터 활동한 것으로 알려진 북한 산하 하위 그룹으로, 보안 업계에서는 TA444, 블루노로프(BlueNoroff), 사파이어슬리트(Sapphire Sleet), 코페르니시움(Copernicium), 스타더스트 촐리마(Stardust Chollima), 케이지카멜레온(CageyChameleon) 등 다양한 이름으로 추적되고 있다. 피해자는 익숙한 지인의 모습을 가장한 공격자로부터 텔레그램을 통해 미팅 일정을 잡자는 메시지를 받았다. 이후 캘렌들리(Calendly)를 통해 회의 일정을 정하고, 가짜 이메일과 함께 줌(Zoom) 미팅 초대장 및 ‘Zoom SDK 업데이트 스크립트’ 실행 지시를 받았다. 해당 스크립트는 애플의 AppleScript 언어로 작성된 zoom_sdk_support.scpt로, 1만 줄의 공백으로 악성 코드를 숨기고 있다. 이 스크립트는 ‘zoom’이라는 단어가 포함된 공격자 소유 도메인에서 2단계 스크립트를 다운로드하며, 해당 스크립트는 사용자를 실제 줌 회의 링크로 리디렉션하는 HTML 스크립트를 실행해 공격 흐름을 감추는 방식으로 동작한다. 여러 단계를 거치는 감염 방식 감염 과정에서는 두 개의 Mach-O 바이너리 애플리케이션이 순차적으로 다운로드된다. 첫 번째 애플리케이션 ‘a’는 C++로 작성됐으며, 암호화된 페이로드를 netchk라는 파일명으로 디스크에 기록한 뒤 trojan1_arm64 파일을 복호화해 실행한다. 초기에는 정상 파일을 먼저 실행한 뒤 프로세스를 일시 중단시키고, 여기에 악성 코드(trojan1_arm64)를 주입한 뒤 다시 실행하는 방식이다. 센티널원은 “이 같은 프로세스 인젝션 기법은 맥OS 맬웨어에서 매우 드물며, 특정 권한이 필요하다”라고 설명했다. 이후 복잡한 난독화와 암호화 단계를 거쳐, upl, tlgrm이라는 두 개의 Bash 스크립트가 생성된다. 이 스크립트는 브라우저, 텔레그램 등 시스템과 앱에서 데이터를 탈취하는 역할을 한다. 두 번째 Mach-O 바이너리는 인스톨러 로, 님 언어로 작성됐다. 님은 파이썬에서 개념을 차용했지만, C 및 C++에 비해 높은 성능과 속도를 자랑하는 언어로, 특정 용도 외에는 널리 사용되지 않는다. 이 인스톨러 구성요소는 Nim 언어로 작성된 GoogIe LLC, CoreKitAgent 등의 추가 악성 파일을 시스템에 설치하며, 이들이 종료되지 않도록 런치에이전트(LaunchAgent)를 이용해 관련 프로세스를 자동으로 재실행시키는 방식으로 시스템에 상주하며 계속 동작한다. 센티널원은 이 맬웨어 군을 ‘님도어(NimDoor)’로 명명했다. 센티널원 연구진은 “올해 초부터 위협 행위자들이 님뿐 아니라 ‘크리스탈(Crystal)’이라는 언어도 활용하고 있으며, 기술적 이점과 분석자에게 낯설다는 점에서 이런 언어들이 향후 더 많이 사용될 것으로 보인다”라며 “보안 연구자와 탐지 엔지니어들도 이와 같은 생소한 언어에 대한 이해와 분석 역량 확보에 투자해야 한다”라고 전했다. dl-ciokorea@foundryco.com ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????