북한 해킹 그룹 Lazarus와 연계된 Apple의 macOS에서 발견된 새로운 악성 코드가 암호화폐 거래소 플랫폼의 블록체인 엔지니어를 표적으로 삼은 것으로 알려졌습니다.
macOS 악성코드 “KandyKorn”은 데이터 검색, 디렉토리 목록 작성, 파일 업로드/다운로드, 보안 삭제, 프로세스 종료 및 명령 실행이 가능한 은밀한 백도어입니다. ~에 따라 Elastic Security Labs의 분석을 참조하세요.
위의 순서도는 악성코드가 사용자의 컴퓨터를 감염시키고 하이재킹하기 위해 취하는 단계를 설명합니다. 처음에 공격자는 커뮤니티 구성원을 사칭하여 Discord 채널을 통해 Python 기반 모듈을 확산했습니다.
소셜 엔지니어링 공격은 커뮤니티 회원을 속여 “크로스 플랫폼 Bridges.zip”이라는 악성 ZIP 아카이브를 다운로드하도록 합니다. 이는 자동화된 수익 창출을 위해 설계된 재정 거래 봇을 모방한 것입니다. 하지만 이 파일은 함께 작동하여 정보를 훔치고 조작하는 13개의 악성 모듈을 가져옵니다. 보고서 내용은 다음과 같습니다.
“우리는 위협 행위자가 이전에 macOS에서 지속성을 달성하기 위해 사용하는 것을 본 적이 없는 기술, 즉 실행 흐름 하이재킹이라는 기술을 채택하는 것을 관찰했습니다.”
암호 화폐 부문은 Lazarus의 주요 목표로 남아 있으며, 주로 다른 주요 운영 초점인 간첩 활동보다는 금전적 이득에 의해 동기가 부여됩니다.
KandyKorn의 존재는 macOS가 Lazarus의 표적 범위 내에 있다는 것을 강조하며, Apple 컴퓨터에 맞춰 정교하고 눈에 띄지 않는 악성 코드를 제작하는 위협 그룹의 놀라운 능력을 보여줍니다.
분산형 거래소 Uniswap에서 거래를 감시하는 데 사용되는 인기 있는 Telegram 봇인 Unibot에 대한 최근 공격으로 인해 한 시간 만에 토큰 가격이 40%나 폭락했습니다.
.@팀유니봇 착취당한 것 같으면 착취자는 밈쿠인을 다음에서 전송합니다. #유니봇 사용자와 이를 교환하고 있습니다. $ETH 지금 바로.
현재 익스플로잇 규모는 ~$560K입니다.
익스플로잇 주소:https://t.co/ysyTmgUAit pic.twitter.com/MF85Fdk892
— Scopescan ( . ) (@0xScopescan) 2023년 10월 31일
블록체인 분석 회사인 Scopescan은 Unibot 사용자에게 진행 중인 해킹에 대해 경고했으며, 이는 나중에 공식 소스에 의해 확인되었습니다.
“우리는 새 라우터에서 토큰 승인 악용을 경험했으며 문제를 억제하기 위해 라우터를 일시 중지했습니다.”
Unibot은 계약 악용으로 인해 자금을 잃은 모든 사용자에게 보상을 약속했습니다.