라자루스, macOS 공격 대상으로 삼다: 가짜 Zoom 링크로 암호화 기업 임원의 자산을 탈취하려는 시도
저자: 조르탄 바르다이
번역: TechFlow
TechFlow 리드: 보안 연구원들이 북한 해커 조직 라자루스(Lazarus)가 ‘Mach-O Man’이라는 새로운 macOS 악성코드를 사용해 가짜 Zoom 및 Google Meet 회의 링크를 통해 암호화폐 기업과 전통 금융 기업의 임원들을 공격하고 있음을 발견했다. 피해자는 명령어 실행을 유도당한 후, 악성코드가 백그라운드에서 웹 브라우저 자격 증명 및 macOS 키체인(Keychain) 비밀번호 등 민감한 데이터를 탈취하고, 최종적으로 Telegram을 통해 외부로 유출한다. 라자루스는 2025년 바이비트(Bybit)에서 14억 달러가 유출된 사건의 배후 세력이다.
보안 연구원들은 새로운 macOS 악성코드 활동을 라자루스 그룹과 연계시켰다. 라자루스는 북한과 관련된 해커 조직으로, 암호화폐 산업에서 발생한 여러 차례 최대 규모의 자금 유출 사건의 주범이다.
위협 정보 기업 BCA Ltd의 창립자이자 사이버 공격 보안 전문가인 마우로 엘드리치(Mauro Eldritch)는 화요일, ‘Mach-O Man’이라는 새로운 악성코드 툴킷을 공개했다. 이 툴킷은 ClickFix 사회공학 기법을 통해 전파되며, 전통 기업 및 암호화폐 기업을 모두 대상으로 한다.
공격 경로: 가짜 Zoom 회의 → 백그라운드 악성코드 설치
구체적인 수법은 다음과 같다. 피해자는 가짜 Zoom 또는 Google Meet 영상 회의에 참여하도록 유도되며, 해당 페이지에서는 명령어 실행을 요청한다. 이 명령어가 실행되면 악성코드가 백그라운드에서 자동으로 다운로드되어 전통적인 보안 통제를 우회하며 어떠한 경고도 발생시키지 않고, 사용자의 자격 증명 및 기업 시스템 권한을 즉시 탈취한다.
엘드리치는 화요일 발표한 보고서에서, 이번 공격으로 인해 계정 탈취, 무단 인프라 접근, 자금 유출, 핵심 데이터 유출 등의 심각한 위험이 초래될 수 있다고 지적했다. 라자루스의 공격 대상은 이제 암호화폐 원생 기업을 넘어 확대되고 있다.
라자루스 그룹은 역사상 최대 규모의 암호화폐 해킹 사건들 대부분의 주요 용의자로 지목되어 왔다. 예를 들어, 2025년 바이비트 거래소에서 14억 달러가 유출된 사건 역시 라자루스가 주도했으며, 이는 여전히 업계 최대 규모의 단일 해킹 사건으로 기록되고 있다.
그림 설명: 위조된 Mach-O Man 툴킷 애플리케이션 인터페이스
출처: ANY.RUN
최종 목적: 브라우저 및 키체인 내 모든 정보 탈취
공격 체인의 마지막 단계는 정보 탈취용 스틸러(stealer) 프로그램으로, 브라우저 확장 프로그램 데이터, 저장된 브라우저 자격 증명, 쿠키(Cookies), macOS 키체인 항목 및 기타 민감한 정보를 전문적으로 추출한다.
그림 설명: 스틸러 프로그램의 최종 배포 디렉토리 구조
출처: ANY.RUN
데이터 수집이 완료되면, 악성코드는 모든 정보를 ZIP 파일로 압축하여 Telegram을 통해 공격자에게 전송한다. 이후 악성코드는 자체 파기 스크립트를 실행해 시스템의 rm 명령어를 이용해 전체 툴킷을 강제 삭제한다. 이 명령어는 사용자 확인 및 권한 검사를 우회하여 파일을 완전히 제거함으로써 흔적을 남기지 않는다.
이 새로운 악성코드 툴킷은 보안 전문가들이 ANY.RUN의 클라우드 기반 macOS 악성코드 샌드박스 분석 능력을 활용해 재구성 및 복원한 것이다.
북한 해커의 공격 범위 지속 확대
올해 4월 초, 북한 해커들은 AI 기반 사회공학 기법을 이용해 암호화폐 지갑 Zerion에서 약 10만 달러 상당의 자금을 탈취했다. 공격자들은 일부 팀 구성원의 로그인 세션, 자격 증명, 그리고 기업의 개인 키까지 확보했다.
또한 CZ(참 치앙)는 최근 보안팀 ‘SEAL’이 암호화폐 기업에 침투한 북한 출신으로 의심되는 60명의 위장 IT 종사자를 발견했다고 경고했다.
북한의 암호화폐 산업 침투는 더 이상 단순한 ‘해킹 공격’을 넘어서고 있다. 신분 위장 취업, AI 기반 사회공학, 맞춤형 악성코드 개발에 이르기까지 공격 범위가 계속해서 확대되고 있다. macOS 사용자는 오랫동안 비교적 안전하다고 여겨졌으나, 라자루스는 이를 전혀 인정하지 않는 듯하다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@Cointelegraph
