북한 해커들이 웹3 및 암호화 네트워크에 Nim 기반 악성 소프트웨어를 유포했습니다

북한 해커들이 NimDoor 멀웨어를 이용해 웹3 및 암호화폐 기업들을 겨냥한 정교한 멀웨어 공격을 시작했습니다.

SentinelLabs는 발견dent소셜 엔지니어링과 복잡한 프로그래밍 기술을 결합하여 Mac 시스템에 침투하고 민감한 정보를 훔치는 고급 공격 방법을

북한 해커들이 가짜 줌 회의 업데이트를 이용해 피해자들을 속였다

북한 공격자들은 텔레그램 메시지를 통해 아는 사람인 척 가장하여 공격을 시작한 후, 피해자들에게 캘렌들리 일정 관리 페이지를 통해 회의를 요청합니다. 피해자들은 이메일을 통해 마치 진짜 줌(Zoom) 소프트웨어 업데이트처럼 보이는 파일을 다운로드하라는 유도를 받는데, 이 파일에는 가짜 줌 회의 링크가 포함되어 있습니다.

공격자들은 Zoom 지원 업데이트 파일로 위장한 악성 파일을 포함하는 도메인을 구축하는데, 이때 도메인 이름은 실제 Zoom 회의 URL과 유사하게 설계되었습니다. 위조된 도메인은 support.us05web-zoom.forum 및 support.us05web-zoom.cloud와 같이 사용자들이 알고 있는 실제 Zoom 웹 도메인과 매우 유사한 변형을 포함합니다.

공격 프로그램은 목적을 숨기기 위해 수천 줄의 빈 공간을 포함하고 있어 단순한 공격 프로그램보다 더 크고 자연스러워 보입니다. 하지만 이 프로그램들 속에는 해커가 운영하는 서버에서 다른 공격 모듈을 다운로드하고 실행하는 단 세 줄의 공격 코드만 숨겨져 있습니다.

SentinelLabs 연구원들은 동일한 공격자가 여러 개의 도메인을 동시에 사용하는 것을 발견했는데, 이는 각 피해자에게 맞춤형 웹 주소를 제공하는 대규모 공격 캠페인임을 시사합니다. 가짜 업데이트 파일의 오타(예: "Zoom SDK Update" 대신 "Zook SDK Update")는 보안 연구원들이 더 쉽게 탐지하고 trac할 수 있습니다.

피해자가 위조된 업데이트를 실행하면 악성 프로그램은 HTML 파일이 포함된 합법적인 Zoom 리디렉션 URL을 로드합니다. 이는 초기 감염을 정상적인 것처럼 위장하면서 백그라운드에서 주요 공격 요소를 은밀하게 실행합니다. 이러한 방식은 피해자가 일반적인 소프트웨어 업데이트 프로세스를 성공적으로 완료했다고 믿도록 속이기 위한 것입니다.

NimDoor 악성 소프트웨어는 비밀번호와 개인 정보를 훔칩니다

NimDoor 멀웨어 캠페인은 피해자 컴퓨터를 감염시키는 데 성공하면 두 가지 공격 경로를 사용합니다. 첫 번째 경로는 인기 애플리케이션에서 비밀번호, 브라우저 데이터, 채팅 기록 등의 개인 정보를 탈취하는 데 중점을 둡니다. 두 번째 경로는 숨겨진 백그라운드 프로그램을 통해 감염된 시스템에 장기간 접근 권한을 확보합니다.

이 악성 프로그램은 Google Chrome, Firefox, Microsoft Edge, Brave, Arc 등 여러 웹 브라우저를 대상으로 하며, 저장된 암호, 검색 기록 및 로그인 정보를 복사합니다. 또한 Mac 컴퓨터의 내장 암호 관리 시스템에 저장된 시스템 암호를 훔치고 사용자가 실행한 프로그램을 보여주는 명령 기록 파일도 복사합니다.

특수 공격 구성 요소는 텔레그램 메시지 데이터를 표적으로 삼아 암호화된 채팅 데이터베이스와 복호화 키를 탈취하여 공격자가 오프라인에서 개인 대화를 읽을 수 있도록 합니다. 탈취된 텔레그램 정보에는 암호화된 메시지 파일과 해당 메시지를 해독하고 읽는 데 필요한 특수 키가 모두 포함됩니다.

탈취된 모든 정보는 암호화된 연결을 통해 공격자가 제어하는 ​​서버로 전송됩니다. 악성 프로그램은 감염된 컴퓨터에 숨겨진 폴더를 생성하여 전송 전에 복사된 데이터를 임시로 저장하는데, 이 폴더들은 정상적인 시스템 파일처럼 보이도록 이름이 지정됩니다.

이 공격은 Nim과 C++를 포함한 고급 프로그래밍 언어를 사용하는데, 이러한 언어는 많은 보안 프로그램에서 탐지하기 어렵습니다. 악성 소프트웨어는 암호화된 웹 연결을 통해 통신하고, 정상적인 파일 이름과 위치를 사용하는 등 보안 소프트웨어의 탐지를 피하는 기능을 포함하고 있습니다.

공격자들은 맥 컴퓨터에서만 작동하도록 악성 소프트웨어를 설계했으며, 맥의 내장 기능을 악용하여 활동을 숨기고 감염된 시스템에 지속적으로 접근 권한을 유지했습니다.

고도화된 지속성 기법을 통해 악성코드는 오랫동안 생존할 수 있습니다

NimDoor 멀웨어는 사용자가 시스템을 재시작하거나 악성 소프트웨어를 제거하려고 시도한 후에도 감염된 컴퓨터에 대한 접근 권한을 유지하는 방법을 포함하고 있습니다. 공격자들은matic사용자가 멀웨어를 종료하거나 삭제하려고 할 때마다 자동으로 다시 설치하는

사용자가 악성 프로그램 프로세스를 중지하거나 컴퓨터를 종료하려고 하면, 악성 프로그램은 이러한 종료 ​​신호를 포착하여 감염된 시스템의 숨겨진 위치에 즉시 자체 백업 복사본을 저장합니다. 이로 인해 악성 프로그램을 제거하려는 시도가 오히려 재설치 과정을 촉발하는 상황이 발생합니다.

이 악성 프로그램은 구글 서비스 이름을 딴 폴더처럼 보이지만 사용자가 일반적으로 알아차리지 못하는 미묘한 철자 차이를 넣어 진짜처럼 보이도록 위장한 가짜 시스템 파일을 생성합니다. 이러한 가짜 파일은matic 시작 권한을 획득하여 컴퓨터 부팅 시마다 악성 프로그램이 실행되도록 합니다.

핵심 구성 요소는 30초마다 공격자 서버에 접속하여 실행 중인 프로그램에 대한 정보를 전송하고 새로운 명령을 기다리는 경량 모니터링 프로그램 역할을 합니다. 이러한 모니터링은 일반 웹 트래픽과 유사하게 보이는 무해한 연결을 통해 이루어집니다.

이 악성 프로그램은 완전히 활성화되기까지 10분의 지연 시간을 포함하고 있어, 즉각적인 의심스러운 동작을 감지하는 보안 소프트웨어의 탐지를 피할 수 있습니다. 이러한 지연 시간 덕분에 악성 프로그램은 마치 실행되는 데 시간이 걸리는 일반 프로그램처럼 보입니다.

사용하는 이러한 지속적인 공격 방식 북한 해커들이 때문에 일반 사용자가 악성코드를 완전히 제거하는 것은 특히 어렵습니다. 감염된 시스템을 완전히 치료하려면 특수 보안 도구나 전문가의 도움이 필요한 경우가 많습니다.