북 해커 라자루스가 인텔-M1 칩셋에 적용 가능한 macOS 악성코드를 사용해 구직자들을 노리고 있다.
보안 기업 ESET 연구팀은 2020년 6월부터 활동하고 있는 ‘Operation In(ter)ception’으로 추적되는 사이버 스파이 활동을 모니터링했다.
모니터링 결과, 연구팀은 해커가 유인 구인 문서를 활용해 항공 우주 및 군사 부문에서 일하는 직원들을 노리고 있는 것을 발견했다.
ESET 연구팀은 공격에 대해 자세히 설명하는 일련의 트윗을 게시했다. 연구팀에 따르면, 악성코드는 코인베이스의 작업 설명을 담은 맥(Mac) 실행 파일로 위장하고 있다. 또한 악성코드는 2022년 8월 11일 브라질에서 바이러스 토탈(VirusTotal)에 업로드되기도 했다.
악성코드는 인텔 및 애플 실리콘용으로 컴파일돼 세 개의 파일을 드롭한다. 이는 5월 ESET 연구팀에서 탐지한 다른 공격과 유사하다. 공격에 사용된 번들은 Shankey Nohria라는 이름의 개발자와 팀 식별자 264HFWQH63에 2022년 2월에 발급된 인증서를 사용했다.
ESET 연구팀은 "지원서는 공증되지 않았고 애플은 8월 12일 인증서를 취소했다. 5월 공격과 달리 다운로더 safarifontagent가 다른 C&C 서버에 연결한다. 악성코드를 분석할 당시 C2 서버는 응답하지 않았다"라고 설명했다.
한편 다른 연구원 @h2jazi도 8월 4일 이 유사한 파일을 발견했는데 이번에 발견된 악성코드와 동일한 방식을 사용하고 있는 것으로 파악됐다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
