북한의 라자루스 그룹이 암호화폐 및 핀테크 분야의 macOS 사용자를 겨냥한 새로운 악성코드 키트를 출시했습니다

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

가짜 설치 과정이 완료되면, 스틸러는 시스템 지문 인식, 지속성 구성 및 페이로드 설치를 시작합니다.

복잡한 익스플로잇을 사용하는 다른 기법들과 달리, 이 기법은 그렇지 않습니다. 따라서 명령어를 검증하지 않고 복사하면서 동시에 여러 통화를 처리하는 중요한 대상에게 매우 효과적입니다.

Mach-O Man 악성코드 내부

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

가짜 설치 과정이 완료되면, 스틸러는 시스템 지문 인식, 지속성 구성 및 페이로드 설치를 시작합니다.

복잡한 익스플로잇을 사용하는 다른 기법들과 달리, 이 기법은 그렇지 않습니다. 따라서 명령어를 검증하지 않고 복사하면서 동시에 여러 통화를 처리하는 중요한 대상에게 매우 효과적입니다.

Mach-O Man 악성코드 내부

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

가짜 설치 과정이 완료되면, 스틸러는 시스템 지문 인식, 지속성 구성 및 페이로드 설치를 시작합니다.

복잡한 익스플로잇을 사용하는 다른 기법들과 달리, 이 기법은 그렇지 않습니다. 따라서 명령어를 검증하지 않고 복사하면서 동시에 여러 통화를 처리하는 중요한 대상에게 매우 효과적입니다.

Mach-O Man 악성코드 내부

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

해당 링크를 클릭하면 Zoom, Teams 또는 Meet에 연결하려고 할 때 오류 메시지가 표시되는 것처럼 보이는 가짜 웹페이지로 이동합니다. 그런 다음 웹사이트는 피해자에게 문제를 "해결"하기 위해 겉보기에는 무해해 보이는 코드 한 줄을 Mac 터미널에 복사하여 붙여넣으라고 요구합니다.

이렇게 하면 공격의 원인이 피해자 자신에게 있기 때문에 피해자는 Gatekeeper와 같은 macOS 보안 메커니즘을 우회할 수 있습니다.

이 코드를 실행하면 teamsSDK.bin이라는 바이너리 파일이 설치됩니다.

악성 프로그램은 가짜 macOS 앱 번들을 다운로드하고 기본 제공되는 코드 서명 도구를 사용하여 임시 서명으로 디지털 서명합니다. 그런 다음 피해자에게 반복적으로 암호를 요구하며, 실제처럼 보이는 조악한 번역 메시지를 표시합니다. 

가짜 설치 과정이 완료되면, 스틸러는 시스템 지문 인식, 지속성 구성 및 페이로드 설치를 시작합니다.

복잡한 익스플로잇을 사용하는 다른 기법들과 달리, 이 기법은 그렇지 않습니다. 따라서 명령어를 검증하지 않고 복사하면서 동시에 여러 통화를 처리하는 중요한 대상에게 매우 효과적입니다.

Mach-O Man 악성코드 내부

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

해당 링크를 클릭하면 Zoom, Teams 또는 Meet에 연결하려고 할 때 오류 메시지가 표시되는 것처럼 보이는 가짜 웹페이지로 이동합니다. 그런 다음 웹사이트는 피해자에게 문제를 "해결"하기 위해 겉보기에는 무해해 보이는 코드 한 줄을 Mac 터미널에 복사하여 붙여넣으라고 요구합니다.

이렇게 하면 공격의 원인이 피해자 자신에게 있기 때문에 피해자는 Gatekeeper와 같은 macOS 보안 메커니즘을 우회할 수 있습니다.

이 코드를 실행하면 teamsSDK.bin이라는 바이너리 파일이 설치됩니다.

악성 프로그램은 가짜 macOS 앱 번들을 다운로드하고 기본 제공되는 코드 서명 도구를 사용하여 임시 서명으로 디지털 서명합니다. 그런 다음 피해자에게 반복적으로 암호를 요구하며, 실제처럼 보이는 조악한 번역 메시지를 표시합니다. 

가짜 설치 과정이 완료되면, 스틸러는 시스템 지문 인식, 지속성 구성 및 페이로드 설치를 시작합니다.

복잡한 익스플로잇을 사용하는 다른 기법들과 달리, 이 기법은 그렇지 않습니다. 따라서 명령어를 검증하지 않고 복사하면서 동시에 여러 통화를 처리하는 중요한 대상에게 매우 효과적입니다.

Mach-O Man 악성코드 내부

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

북한 해커들이 맥 사용자들을 노리고 있다

보도된 바와 같이, 이번 공격은 직원들이 Zoom, Microsoft Teams, Google Meet과 같은 일반적인 커뮤니케이션 도구에 대해 갖고 있는 신뢰를 악용했습니다. 이로 인해 일상적인 협업이 시스템 수준의 공격 경로로 이용되었습니다.

첫 번째 단계는 텔레그램을 이용한 정교하게 설계된 사회공학적 미끼입니다. 이 미끼는 피해자(핀테크 및 암호화폐 업계의 개발자, 임원, 의사 결정권자)를 해킹당한 동료의 계정으로 발송된 긴급 회의 초대에 응답하도록 유도합니다.

해당 링크를 클릭하면 Zoom, Teams 또는 Meet에 연결하려고 할 때 오류 메시지가 표시되는 것처럼 보이는 가짜 웹페이지로 이동합니다. 그런 다음 웹사이트는 피해자에게 문제를 "해결"하기 위해 겉보기에는 무해해 보이는 코드 한 줄을 Mac 터미널에 복사하여 붙여넣으라고 요구합니다.

이렇게 하면 공격의 원인이 피해자 자신에게 있기 때문에 피해자는 Gatekeeper와 같은 macOS 보안 메커니즘을 우회할 수 있습니다.

이 코드를 실행하면 teamsSDK.bin이라는 바이너리 파일이 설치됩니다.

악성 프로그램은 가짜 macOS 앱 번들을 다운로드하고 기본 제공되는 코드 서명 도구를 사용하여 임시 서명으로 디지털 서명합니다. 그런 다음 피해자에게 반복적으로 암호를 요구하며, 실제처럼 보이는 조악한 번역 메시지를 표시합니다. 

가짜 설치 과정이 완료되면, 스틸러는 시스템 지문 인식, 지속성 구성 및 페이로드 설치를 시작합니다.

복잡한 익스플로잇을 사용하는 다른 기법들과 달리, 이 기법은 그렇지 않습니다. 따라서 명령어를 검증하지 않고 복사하면서 동시에 여러 통화를 처리하는 중요한 대상에게 매우 효과적입니다.

Mach-O Man 악성코드 내부

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

북한 해커들이 맥 사용자들을 노리고 있다

보도된 바와 같이, 이번 공격은 직원들이 Zoom, Microsoft Teams, Google Meet과 같은 일반적인 커뮤니케이션 도구에 대해 갖고 있는 신뢰를 악용했습니다. 이로 인해 일상적인 협업이 시스템 수준의 공격 경로로 이용되었습니다.

첫 번째 단계는 텔레그램을 이용한 정교하게 설계된 사회공학적 미끼입니다. 이 미끼는 피해자(핀테크 및 암호화폐 업계의 개발자, 임원, 의사 결정권자)를 해킹당한 동료의 계정으로 발송된 긴급 회의 초대에 응답하도록 유도합니다.

해당 링크를 클릭하면 Zoom, Teams 또는 Meet에 연결하려고 할 때 오류 메시지가 표시되는 것처럼 보이는 가짜 웹페이지로 이동합니다. 그런 다음 웹사이트는 피해자에게 문제를 "해결"하기 위해 겉보기에는 무해해 보이는 코드 한 줄을 Mac 터미널에 복사하여 붙여넣으라고 요구합니다.

이렇게 하면 공격의 원인이 피해자 자신에게 있기 때문에 피해자는 Gatekeeper와 같은 macOS 보안 메커니즘을 우회할 수 있습니다.

이 코드를 실행하면 teamsSDK.bin이라는 바이너리 파일이 설치됩니다.

악성 프로그램은 가짜 macOS 앱 번들을 다운로드하고 기본 제공되는 코드 서명 도구를 사용하여 임시 서명으로 디지털 서명합니다. 그런 다음 피해자에게 반복적으로 암호를 요구하며, 실제처럼 보이는 조악한 번역 메시지를 표시합니다. 

가짜 설치 과정이 완료되면, 스틸러는 시스템 지문 인식, 지속성 구성 및 페이로드 설치를 시작합니다.

복잡한 익스플로잇을 사용하는 다른 기법들과 달리, 이 기법은 그렇지 않습니다. 따라서 명령어를 검증하지 않고 복사하면서 동시에 여러 통화를 처리하는 중요한 대상에게 매우 효과적입니다.

Mach-O Man 악성코드 내부

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

북한의 라자루스 그룹이 macOS 기기를 겨냥한 고도화된 악성 소프트웨어를 출시했습니다. '마치오맨(Mach-O Man)'이라고 불리는 이 악성 소프트웨어는 암호화폐 회사, 핀테크 기업, 그리고 금융 거래에 맥을 사용하는 주요 임원들을 공격하도록 설계되었습니다.

해당 공격은 2026년 4월 중순에 처음dent되었습니다. 이 공격은 Zoom, Microsoft Teams, Google Meet과 같은 인기 있는 업무용 앱을 사용하여 소셜 엔지니어링 공격을 감행합니다.

북한 해커들이 맥 사용자들을 노리고 있다

보도된 바와 같이, 이번 공격은 직원들이 Zoom, Microsoft Teams, Google Meet과 같은 일반적인 커뮤니케이션 도구에 대해 갖고 있는 신뢰를 악용했습니다. 이로 인해 일상적인 협업이 시스템 수준의 공격 경로로 이용되었습니다.

첫 번째 단계는 텔레그램을 이용한 정교하게 설계된 사회공학적 미끼입니다. 이 미끼는 피해자(핀테크 및 암호화폐 업계의 개발자, 임원, 의사 결정권자)를 해킹당한 동료의 계정으로 발송된 긴급 회의 초대에 응답하도록 유도합니다.

해당 링크를 클릭하면 Zoom, Teams 또는 Meet에 연결하려고 할 때 오류 메시지가 표시되는 것처럼 보이는 가짜 웹페이지로 이동합니다. 그런 다음 웹사이트는 피해자에게 문제를 "해결"하기 위해 겉보기에는 무해해 보이는 코드 한 줄을 Mac 터미널에 복사하여 붙여넣으라고 요구합니다.

이렇게 하면 공격의 원인이 피해자 자신에게 있기 때문에 피해자는 Gatekeeper와 같은 macOS 보안 메커니즘을 우회할 수 있습니다.

이 코드를 실행하면 teamsSDK.bin이라는 바이너리 파일이 설치됩니다.

악성 프로그램은 가짜 macOS 앱 번들을 다운로드하고 기본 제공되는 코드 서명 도구를 사용하여 임시 서명으로 디지털 서명합니다. 그런 다음 피해자에게 반복적으로 암호를 요구하며, 실제처럼 보이는 조악한 번역 메시지를 표시합니다. 

가짜 설치 과정이 완료되면, 스틸러는 시스템 지문 인식, 지속성 구성 및 페이로드 설치를 시작합니다.

복잡한 익스플로잇을 사용하는 다른 기법들과 달리, 이 기법은 그렇지 않습니다. 따라서 명령어를 검증하지 않고 복사하면서 동시에 여러 통화를 처리하는 중요한 대상에게 매우 효과적입니다.

Mach-O Man 악성코드 내부

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

북한의 라자루스 그룹이 macOS 기기를 겨냥한 고도화된 악성 소프트웨어를 출시했습니다. '마치오맨(Mach-O Man)'이라고 불리는 이 악성 소프트웨어는 암호화폐 회사, 핀테크 기업, 그리고 금융 거래에 맥을 사용하는 주요 임원들을 공격하도록 설계되었습니다.

해당 공격은 2026년 4월 중순에 처음dent되었습니다. 이 공격은 Zoom, Microsoft Teams, Google Meet과 같은 인기 있는 업무용 앱을 사용하여 소셜 엔지니어링 공격을 감행합니다.

북한 해커들이 맥 사용자들을 노리고 있다

보도된 바와 같이, 이번 공격은 직원들이 Zoom, Microsoft Teams, Google Meet과 같은 일반적인 커뮤니케이션 도구에 대해 갖고 있는 신뢰를 악용했습니다. 이로 인해 일상적인 협업이 시스템 수준의 공격 경로로 이용되었습니다.

첫 번째 단계는 텔레그램을 이용한 정교하게 설계된 사회공학적 미끼입니다. 이 미끼는 피해자(핀테크 및 암호화폐 업계의 개발자, 임원, 의사 결정권자)를 해킹당한 동료의 계정으로 발송된 긴급 회의 초대에 응답하도록 유도합니다.

해당 링크를 클릭하면 Zoom, Teams 또는 Meet에 연결하려고 할 때 오류 메시지가 표시되는 것처럼 보이는 가짜 웹페이지로 이동합니다. 그런 다음 웹사이트는 피해자에게 문제를 "해결"하기 위해 겉보기에는 무해해 보이는 코드 한 줄을 Mac 터미널에 복사하여 붙여넣으라고 요구합니다.

이렇게 하면 공격의 원인이 피해자 자신에게 있기 때문에 피해자는 Gatekeeper와 같은 macOS 보안 메커니즘을 우회할 수 있습니다.

이 코드를 실행하면 teamsSDK.bin이라는 바이너리 파일이 설치됩니다.

악성 프로그램은 가짜 macOS 앱 번들을 다운로드하고 기본 제공되는 코드 서명 도구를 사용하여 임시 서명으로 디지털 서명합니다. 그런 다음 피해자에게 반복적으로 암호를 요구하며, 실제처럼 보이는 조악한 번역 메시지를 표시합니다. 

가짜 설치 과정이 완료되면, 스틸러는 시스템 지문 인식, 지속성 구성 및 페이로드 설치를 시작합니다.

복잡한 익스플로잇을 사용하는 다른 기법들과 달리, 이 기법은 그렇지 않습니다. 따라서 명령어를 검증하지 않고 복사하면서 동시에 여러 통화를 처리하는 중요한 대상에게 매우 효과적입니다.

Mach-O Man 악성코드 내부

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

과도한 홍보 없이 DeFi 화폐 에 진입하고 싶다면