tradingkey.logo
tradingkey.logo
검색

북한의 라자루스 그룹이 암호화폐 및 핀테크 분야의 macOS 사용자를 겨냥한 새로운 악성코드 키트를 출시했습니다

CryptopolitanApr 22, 2026 12:14 PM
facebooktwitterlinkedin
모든 코멘트 보기0

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

가짜 설치 과정이 완료되면, 스틸러는 시스템 지문 인식, 지속성 구성 및 페이로드 설치를 시작합니다.

복잡한 익스플로잇을 사용하는 다른 기법들과 달리, 이 기법은 그렇지 않습니다. 따라서 명령어를 검증하지 않고 복사하면서 동시에 여러 통화를 처리하는 중요한 대상에게 매우 효과적입니다.

Mach-O Man 악성코드 내부

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

가짜 설치 과정이 완료되면, 스틸러는 시스템 지문 인식, 지속성 구성 및 페이로드 설치를 시작합니다.

복잡한 익스플로잇을 사용하는 다른 기법들과 달리, 이 기법은 그렇지 않습니다. 따라서 명령어를 검증하지 않고 복사하면서 동시에 여러 통화를 처리하는 중요한 대상에게 매우 효과적입니다.

Mach-O Man 악성코드 내부

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

북한의 라자루스 그룹이 '마하-오맨' macOS 악성코드 키트로 암호화폐 및 고위 임원들을 표적으로 삼고 있다
가짜 앱에 Mach-O man 악성코드를 설치하는 방법. 출처: AnyRun

가짜 설치 과정이 완료되면, 스틸러는 시스템 지문 인식, 지속성 구성 및 페이로드 설치를 시작합니다.

복잡한 익스플로잇을 사용하는 다른 기법들과 달리, 이 기법은 그렇지 않습니다. 따라서 명령어를 검증하지 않고 복사하면서 동시에 여러 통화를 처리하는 중요한 대상에게 매우 효과적입니다.

Mach-O Man 악성코드 내부

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

해당 링크를 클릭하면 Zoom, Teams 또는 Meet에 연결하려고 할 때 오류 메시지가 표시되는 것처럼 보이는 가짜 웹페이지로 이동합니다. 그런 다음 웹사이트는 피해자에게 문제를 "해결"하기 위해 겉보기에는 무해해 보이는 코드 한 줄을 Mac 터미널에 복사하여 붙여넣으라고 요구합니다.

이렇게 하면 공격의 원인이 피해자 자신에게 있기 때문에 피해자는 Gatekeeper와 같은 macOS 보안 메커니즘을 우회할 수 있습니다.

이 코드를 실행하면 teamsSDK.bin이라는 바이너리 파일이 설치됩니다.

악성 프로그램은 가짜 macOS 앱 번들을 다운로드하고 기본 제공되는 코드 서명 도구를 사용하여 임시 서명으로 디지털 서명합니다. 그런 다음 피해자에게 반복적으로 암호를 요구하며, 실제처럼 보이는 조악한 번역 메시지를 표시합니다. 

북한의 라자루스 그룹이 '마하-오맨' macOS 악성코드 키트로 암호화폐 및 고위 임원들을 표적으로 삼고 있다
가짜 앱에 Mach-O man 악성코드를 설치하는 방법. 출처: AnyRun

가짜 설치 과정이 완료되면, 스틸러는 시스템 지문 인식, 지속성 구성 및 페이로드 설치를 시작합니다.

복잡한 익스플로잇을 사용하는 다른 기법들과 달리, 이 기법은 그렇지 않습니다. 따라서 명령어를 검증하지 않고 복사하면서 동시에 여러 통화를 처리하는 중요한 대상에게 매우 효과적입니다.

Mach-O Man 악성코드 내부

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

해당 링크를 클릭하면 Zoom, Teams 또는 Meet에 연결하려고 할 때 오류 메시지가 표시되는 것처럼 보이는 가짜 웹페이지로 이동합니다. 그런 다음 웹사이트는 피해자에게 문제를 "해결"하기 위해 겉보기에는 무해해 보이는 코드 한 줄을 Mac 터미널에 복사하여 붙여넣으라고 요구합니다.

이렇게 하면 공격의 원인이 피해자 자신에게 있기 때문에 피해자는 Gatekeeper와 같은 macOS 보안 메커니즘을 우회할 수 있습니다.

이 코드를 실행하면 teamsSDK.bin이라는 바이너리 파일이 설치됩니다.

악성 프로그램은 가짜 macOS 앱 번들을 다운로드하고 기본 제공되는 코드 서명 도구를 사용하여 임시 서명으로 디지털 서명합니다. 그런 다음 피해자에게 반복적으로 암호를 요구하며, 실제처럼 보이는 조악한 번역 메시지를 표시합니다. 

북한의 라자루스 그룹이 '마하-오맨' macOS 악성코드 키트로 암호화폐 및 고위 임원들을 표적으로 삼고 있다
가짜 앱에 Mach-O man 악성코드를 설치하는 방법. 출처: AnyRun

가짜 설치 과정이 완료되면, 스틸러는 시스템 지문 인식, 지속성 구성 및 페이로드 설치를 시작합니다.

복잡한 익스플로잇을 사용하는 다른 기법들과 달리, 이 기법은 그렇지 않습니다. 따라서 명령어를 검증하지 않고 복사하면서 동시에 여러 통화를 처리하는 중요한 대상에게 매우 효과적입니다.

Mach-O Man 악성코드 내부

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

북한 해커들이 맥 사용자들을 노리고 있다

보도된 바와 같이, 이번 공격은 직원들이 Zoom, Microsoft Teams, Google Meet과 같은 일반적인 커뮤니케이션 도구에 대해 갖고 있는 신뢰를 악용했습니다. 이로 인해 일상적인 협업이 시스템 수준의 공격 경로로 이용되었습니다.

첫 번째 단계는 텔레그램을 이용한 정교하게 설계된 사회공학적 미끼입니다. 이 미끼는 피해자(핀테크 및 암호화폐 업계의 개발자, 임원, 의사 결정권자)를 해킹당한 동료의 계정으로 발송된 긴급 회의 초대에 응답하도록 유도합니다.

해당 링크를 클릭하면 Zoom, Teams 또는 Meet에 연결하려고 할 때 오류 메시지가 표시되는 것처럼 보이는 가짜 웹페이지로 이동합니다. 그런 다음 웹사이트는 피해자에게 문제를 "해결"하기 위해 겉보기에는 무해해 보이는 코드 한 줄을 Mac 터미널에 복사하여 붙여넣으라고 요구합니다.

이렇게 하면 공격의 원인이 피해자 자신에게 있기 때문에 피해자는 Gatekeeper와 같은 macOS 보안 메커니즘을 우회할 수 있습니다.

이 코드를 실행하면 teamsSDK.bin이라는 바이너리 파일이 설치됩니다.

악성 프로그램은 가짜 macOS 앱 번들을 다운로드하고 기본 제공되는 코드 서명 도구를 사용하여 임시 서명으로 디지털 서명합니다. 그런 다음 피해자에게 반복적으로 암호를 요구하며, 실제처럼 보이는 조악한 번역 메시지를 표시합니다. 

북한의 라자루스 그룹이 '마하-오맨' macOS 악성코드 키트로 암호화폐 및 고위 임원들을 표적으로 삼고 있다
가짜 앱에 Mach-O man 악성코드를 설치하는 방법. 출처: AnyRun

가짜 설치 과정이 완료되면, 스틸러는 시스템 지문 인식, 지속성 구성 및 페이로드 설치를 시작합니다.

복잡한 익스플로잇을 사용하는 다른 기법들과 달리, 이 기법은 그렇지 않습니다. 따라서 명령어를 검증하지 않고 복사하면서 동시에 여러 통화를 처리하는 중요한 대상에게 매우 효과적입니다.

Mach-O Man 악성코드 내부

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

북한 해커들이 맥 사용자들을 노리고 있다

보도된 바와 같이, 이번 공격은 직원들이 Zoom, Microsoft Teams, Google Meet과 같은 일반적인 커뮤니케이션 도구에 대해 갖고 있는 신뢰를 악용했습니다. 이로 인해 일상적인 협업이 시스템 수준의 공격 경로로 이용되었습니다.

첫 번째 단계는 텔레그램을 이용한 정교하게 설계된 사회공학적 미끼입니다. 이 미끼는 피해자(핀테크 및 암호화폐 업계의 개발자, 임원, 의사 결정권자)를 해킹당한 동료의 계정으로 발송된 긴급 회의 초대에 응답하도록 유도합니다.

해당 링크를 클릭하면 Zoom, Teams 또는 Meet에 연결하려고 할 때 오류 메시지가 표시되는 것처럼 보이는 가짜 웹페이지로 이동합니다. 그런 다음 웹사이트는 피해자에게 문제를 "해결"하기 위해 겉보기에는 무해해 보이는 코드 한 줄을 Mac 터미널에 복사하여 붙여넣으라고 요구합니다.

이렇게 하면 공격의 원인이 피해자 자신에게 있기 때문에 피해자는 Gatekeeper와 같은 macOS 보안 메커니즘을 우회할 수 있습니다.

이 코드를 실행하면 teamsSDK.bin이라는 바이너리 파일이 설치됩니다.

악성 프로그램은 가짜 macOS 앱 번들을 다운로드하고 기본 제공되는 코드 서명 도구를 사용하여 임시 서명으로 디지털 서명합니다. 그런 다음 피해자에게 반복적으로 암호를 요구하며, 실제처럼 보이는 조악한 번역 메시지를 표시합니다. 

북한의 라자루스 그룹이 '마하-오맨' macOS 악성코드 키트로 암호화폐 및 고위 임원들을 표적으로 삼고 있다
가짜 앱에 Mach-O man 악성코드를 설치하는 방법. 출처: AnyRun

가짜 설치 과정이 완료되면, 스틸러는 시스템 지문 인식, 지속성 구성 및 페이로드 설치를 시작합니다.

복잡한 익스플로잇을 사용하는 다른 기법들과 달리, 이 기법은 그렇지 않습니다. 따라서 명령어를 검증하지 않고 복사하면서 동시에 여러 통화를 처리하는 중요한 대상에게 매우 효과적입니다.

Mach-O Man 악성코드 내부

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

북한의 라자루스 그룹이 macOS 기기를 겨냥한 고도화된 악성 소프트웨어를 출시했습니다. '마치오맨(Mach-O Man)'이라고 불리는 이 악성 소프트웨어는 암호화폐 회사, 핀테크 기업, 그리고 금융 거래에 맥을 사용하는 주요 임원들을 공격하도록 설계되었습니다.

해당 공격은 2026년 4월 중순에 처음dent되었습니다. 이 공격은 Zoom, Microsoft Teams, Google Meet과 같은 인기 있는 업무용 앱을 사용하여 소셜 엔지니어링 공격을 감행합니다.

북한 해커들이 맥 사용자들을 노리고 있다

보도된 바와 같이, 이번 공격은 직원들이 Zoom, Microsoft Teams, Google Meet과 같은 일반적인 커뮤니케이션 도구에 대해 갖고 있는 신뢰를 악용했습니다. 이로 인해 일상적인 협업이 시스템 수준의 공격 경로로 이용되었습니다.

첫 번째 단계는 텔레그램을 이용한 정교하게 설계된 사회공학적 미끼입니다. 이 미끼는 피해자(핀테크 및 암호화폐 업계의 개발자, 임원, 의사 결정권자)를 해킹당한 동료의 계정으로 발송된 긴급 회의 초대에 응답하도록 유도합니다.

해당 링크를 클릭하면 Zoom, Teams 또는 Meet에 연결하려고 할 때 오류 메시지가 표시되는 것처럼 보이는 가짜 웹페이지로 이동합니다. 그런 다음 웹사이트는 피해자에게 문제를 "해결"하기 위해 겉보기에는 무해해 보이는 코드 한 줄을 Mac 터미널에 복사하여 붙여넣으라고 요구합니다.

이렇게 하면 공격의 원인이 피해자 자신에게 있기 때문에 피해자는 Gatekeeper와 같은 macOS 보안 메커니즘을 우회할 수 있습니다.

이 코드를 실행하면 teamsSDK.bin이라는 바이너리 파일이 설치됩니다.

악성 프로그램은 가짜 macOS 앱 번들을 다운로드하고 기본 제공되는 코드 서명 도구를 사용하여 임시 서명으로 디지털 서명합니다. 그런 다음 피해자에게 반복적으로 암호를 요구하며, 실제처럼 보이는 조악한 번역 메시지를 표시합니다. 

북한의 라자루스 그룹이 '마하-오맨' macOS 악성코드 키트로 암호화폐 및 고위 임원들을 표적으로 삼고 있다
가짜 앱에 Mach-O man 악성코드를 설치하는 방법. 출처: AnyRun

가짜 설치 과정이 완료되면, 스틸러는 시스템 지문 인식, 지속성 구성 및 페이로드 설치를 시작합니다.

복잡한 익스플로잇을 사용하는 다른 기법들과 달리, 이 기법은 그렇지 않습니다. 따라서 명령어를 검증하지 않고 복사하면서 동시에 여러 통화를 처리하는 중요한 대상에게 매우 효과적입니다.

Mach-O Man 악성코드 내부

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

북한의 라자루스 그룹이 macOS 기기를 겨냥한 고도화된 악성 소프트웨어를 출시했습니다. '마치오맨(Mach-O Man)'이라고 불리는 이 악성 소프트웨어는 암호화폐 회사, 핀테크 기업, 그리고 금융 거래에 맥을 사용하는 주요 임원들을 공격하도록 설계되었습니다.

해당 공격은 2026년 4월 중순에 처음dent되었습니다. 이 공격은 Zoom, Microsoft Teams, Google Meet과 같은 인기 있는 업무용 앱을 사용하여 소셜 엔지니어링 공격을 감행합니다.

북한 해커들이 맥 사용자들을 노리고 있다

보도된 바와 같이, 이번 공격은 직원들이 Zoom, Microsoft Teams, Google Meet과 같은 일반적인 커뮤니케이션 도구에 대해 갖고 있는 신뢰를 악용했습니다. 이로 인해 일상적인 협업이 시스템 수준의 공격 경로로 이용되었습니다.

첫 번째 단계는 텔레그램을 이용한 정교하게 설계된 사회공학적 미끼입니다. 이 미끼는 피해자(핀테크 및 암호화폐 업계의 개발자, 임원, 의사 결정권자)를 해킹당한 동료의 계정으로 발송된 긴급 회의 초대에 응답하도록 유도합니다.

해당 링크를 클릭하면 Zoom, Teams 또는 Meet에 연결하려고 할 때 오류 메시지가 표시되는 것처럼 보이는 가짜 웹페이지로 이동합니다. 그런 다음 웹사이트는 피해자에게 문제를 "해결"하기 위해 겉보기에는 무해해 보이는 코드 한 줄을 Mac 터미널에 복사하여 붙여넣으라고 요구합니다.

이렇게 하면 공격의 원인이 피해자 자신에게 있기 때문에 피해자는 Gatekeeper와 같은 macOS 보안 메커니즘을 우회할 수 있습니다.

이 코드를 실행하면 teamsSDK.bin이라는 바이너리 파일이 설치됩니다.

악성 프로그램은 가짜 macOS 앱 번들을 다운로드하고 기본 제공되는 코드 서명 도구를 사용하여 임시 서명으로 디지털 서명합니다. 그런 다음 피해자에게 반복적으로 암호를 요구하며, 실제처럼 보이는 조악한 번역 메시지를 표시합니다. 

북한의 라자루스 그룹이 '마하-오맨' macOS 악성코드 키트로 암호화폐 및 고위 임원들을 표적으로 삼고 있다
가짜 앱에 Mach-O man 악성코드를 설치하는 방법. 출처: AnyRun

가짜 설치 과정이 완료되면, 스틸러는 시스템 지문 인식, 지속성 구성 및 페이로드 설치를 시작합니다.

복잡한 익스플로잇을 사용하는 다른 기법들과 달리, 이 기법은 그렇지 않습니다. 따라서 명령어를 검증하지 않고 복사하면서 동시에 여러 통화를 처리하는 중요한 대상에게 매우 효과적입니다.

Mach-O Man 악성코드 내부

"Mach-O Man" 악성코드는 여러 단계로 구성되며, 각 단계는 Go 언어로 컴파일된 Mach-O 바이너리를 사용합니다. 이 악성코드에는 호스트 이름, UUID, CPU 정보, 네트워크 구성 및 실행 중인 프로세스를 포함한 시스템 정보를 수집하는 프로파일러 모듈이 포함되어 있습니다

이 프로그램은 Chrome, Firefox, Safari, Brave, Opera 및 Vivaldi 브라우저용 확장 프로그램을 제공합니다. 정보는 8888번 포트와 9999번 포트에서 간단한 curl POST 요청을 통해 명령 및 제어 서버로 전송됩니다.

지속형 모듈 minst2.bin은 LaunchAgent plist 파일(com.onedrive.launcher.plist)을 생성하여 사용자가 로그인할 때마다 "OneDrive" 또는 "바이러스 백신 서비스"라는 정상적인 프로세스로 위장하여 악성 프로그램이 실행되도록 합니다

시스템에서 데이터를 탈취하는 마지막 페이로드인 Macrasv2는 브라우저 로그인 정보와 SQLite 데이터베이스에 저장된 쿠키, 그리고 민감한 키체인 항목에서 정보를 수집합니다. 수집된 모든 데이터는 압축되어 노출된 토큰을 사용하는 텔레그램 봇 API를 통해 전송됩니다.

라자루스 그룹이 암호화폐 및 미국 기술 업계에 남긴 파괴적인 유산

"마하-오맨" 출시는 라자루스 그룹이 금전적 이득을 위해 오랫동안 추진해 온 사이버 공격의 일환입니다. 이러한 공격으로 인해 암호화폐 업계, 특히 미국에 기반을 둔 암호화폐 업계는 막대한 손실을 입었습니다.

이 그룹은 dent 6억 2,500만 달러, 바이빗에서 발생한 15억 달러, DMM Bitcoin 켈프DAO , 드리프트에서 발생한 2억 8,500만 달러 , 그리고 와지르X에서 발생한 2억 3,500만 달러 등 암호화폐 역사상 최대 규모의 절도 사건에 연루된 것으로 확인되었습니다.

과도한 홍보 없이 DeFi 화폐 에 진입하고 싶다면

면책 조항: 이 웹사이트에서 제공되는 정보는 교육적이고 정보 제공을 위한 목적으로만 사용되며, 금융 또는 투자 조언으로 간주되어서는 안 됩니다.

코멘트 (0)

$ 버튼을 클릭하고, 종목 코드를 입력한 후 주식, ETF 또는 기타 티커를 연결합니다.

0/500
코멘트 가이드라인
로딩 중...

추천 기사

FOMC 의사록: 연준, 중립적인 관망세로 전환, 소수 위원들은 금리 인상 필요성 제기, 인플레이션 상방 리스크가 핵심 갈등 요인으로 부상

연방준비제도(Fed·연준)는 7월 8일, 지난 6월 16~17일 개최된 FOMC 통화정책 회의 의사록을 공개했다. 해당 문서는 연준의 정책 기조가 완전히 중립적인 관망(wait-and-see) 입장으로 선회했으며, 인플레이션의 상방 리스크가 핵심 갈등 요인으로 부각되었음을 보여준다. 이번 FOMC 회의는 연준이 기존의 일방적인 금리 인하 편향에서 완전히 벗어나 양방향의 유연한 정책 관찰기에 진입했다는 명확한 신호를 보냈다. 예상보다 높은 인플레이션 끈적임(stickiness)과 그 범위의 확산이 이러한 정책 전환의 핵심 배경이며, 고용과 성장의 회복력은 유연한 정책 조정을 위한 여력을 제공하고 있다. 위원들은 인플레이션의 추가 상승을 확인했으며, 물가 압력이 더 이상 에너지나 관세 등 외생적 요인에만 국한되지 않는다고 지적했다. 대신 물가 상승은 운송, 항공료, 유가 등 광범위한 카테고리로 확산되었으며, 주거비를 제외한 서비스 인플레이션은 거의 개선되지 않은 것으로 나타났다. 단기적으로 호르무즈 해협을 통한 해상 운송이 회복되고 관세의 한계 효과가 약화됨에 따라 인플레이션은 점차 하락할 것으로 예상된다.
tradingkey.logo
* 참고자료, 분석 및 트레이딩 전략은 제3자 제공업체인 Trading Central에서 제공하며, 분석가의 독립적인 평가와 판단에 기반한 시각으로, 투자자의 투자 목표와 재정 상황은 고려되지 않습니다.
위험 경고: 저희 웹사이트와 모바일 앱은 특정 투자 상품에 대한 일반적인 정보만을 제공합니다. Finsights는 재정적 조언이나 투자 상품에 대한 추천을 제공하지 않으며, 이러한 정보 제공이 Finsights가 금융 조언이나 추천을 제공하는 것으로 해석되어서는 안 됩니다.
투자 상품은 투자 원금 손실을 포함한 상당한 투자 위험에 노출되어 있으며, 모든 사람에게 적합하지 않을 수 있습니다. 투자 상품의 과거 성과는 미래 성과를 보장하지 않습니다.
Finsights는 제3자 광고주나 제휴사가 저희 웹사이트나 모바일 앱 또는 그 일부에 광고를 게재하거나 전달할 수 있도록 허용할 수 있으며, 사용자가 광고와 상호작용하는 방식에 따라 이들로부터 보상을 받을 수 있습니다.
© 저작권: FINSIGHTS MEDIA PTE. LTD. 모든 권리 보유