Lazarus Group은 새로운 Mach-O Man 공격으로 특히 위험해졌습니다: CertiK
북한의 라자루스 그룹(Lazarus Group)은 명백히 일상적인 비즈니스 통화를 표적 시스템에 대한 관문으로 활용할 수 있는 새로운 공격 벡터를 보유하고 있습니다.
북한 국영 라자루스 그룹(Lazarus Group)이 일상적인 비즈니스 의사소통을 자격 증명 도용과 데이터 손실로 이어지는 직접적인 경로로 바꾸는 ‘마하오맨(Mach-O Man)’이라는 새로운 캠페인을 진행하고 있다고 보안 전문가들이 수요일 경고했습니다.
집단, 2017년 이후 누적 약탈액은 67억 달러로 추산됩니다.CertiK의 수석 블록체인 보안 연구원인 나탈리 뉴슨(Natalie Newson)은 수요일에 CoinDesk에 , 핀테크, 암호화폐 및 기타 고부가가치 경영진과 기업을 표적으로 삼고 있다고 말했습니다.
지난 2주 동안에만 북한 해커들이 Drift 및 KelpDAO 익스플로잇으로 5억 달러 이상을 빼돌렸습니다. 지속적인 캠페인으로 보이는 것 같습니다. 암호화폐 업계는 은행이 국가 사이버 행위자를 보는 것과 같은 방식으로 라자루스를 보기 시작해야 합니다. 그녀는 “단순히 또 다른 뉴스 헤드라인이 아니라 지속적이고 자금이 풍부한 위협”이라고 말했습니다.
“지금 라자루스를 특히 위험하게 만드는 것은 그들의 활동 수준입니다.”라고 뉴슨은 말했습니다. “KelpDAO, Drift, 그리고 이제 새로운 macOS 악성 코드 키트가 모두 같은 달 내에 발생합니다. 이것은 무작위 해킹이 아니라 기관의 일반적인 규모와 속도로 운영되는 국가 주도의 금융 운영입니다.”
북한은 암호화폐 절도를 수익성 있는 국가 산업으로 전환했으며 마하오맨은 그 과정에서 나온 최신 제품일 뿐이라고 그녀는 말했습니다. Lazarus가 이를 만들었지만 다른 사이버 범죄 그룹도 이를 사용하고 있습니다.
“이것은 Lazarus Group의 악명 높은 Chollima 부서에서 만든 모듈식 macOS 악성 코드 키트입니다. 암호화폐와 핀테크가 운영되는 Apple 환경에 맞게 맞춤화된 기본 Mach-O 바이너리를 사용합니다.”라고 그녀는 말했습니다.
Newson은 Mach-O Man이 ClickFix라는 전달 방법을 사용한다고 말했습니다. “많은 보도가 서로 다른 두 가지를 혼합하고 있기 때문에 명확하게 하는 것이 중요합니다.”라고 그녀는 말했습니다. ClickFix는 시뮬레이션된 연결 문제를 해결하기 위해 피해자에게 터미널에 명령을 붙여넣도록 요청하는 사회 공학 기술입니다.
Lazarus가 Zoom, Microsoft Teams 또는 Google Meet 통화를 위해 Telegram을 통해 경영진에게 “긴급” 회의 초대를 보내는 방식으로 작동합니다. 마우로 엘드리치에 따르면보안 전문가이자 위협 정보 회사인 BCA Ltd.의 창립자입니다.
이 링크는 “연결 문제 해결”을 위해 간단한 명령 하나를 Mac 터미널에 복사하여 붙여넣도록 지시하는 가짜이지만 설득력 있는 웹사이트로 연결됩니다. 이를 통해 피해자는 기업 시스템, SaaS 플랫폼 및 금융 자원에 대한 즉각적인 액세스를 제공합니다. 그들이 착취당했다는 사실을 알게 되었을 때는 대개 너무 늦습니다.
있다 이 공격의 여러 변형보안 위협 연구원인 Vladimir S.는 X에서 말했습니다. Lazarus 공격자가 웹 사이트를 Cloudflare의 가짜 메시지로 교체하고 액세스 권한을 부여하는 명령을 입력하도록 요청하여 이 새로운 악성 코드로 탈중앙화 금융(DeFI) 프로젝트의 도메인을 탈취한 사례가 이미 있습니다.
Certik의 Newson은 “이러한 가짜 ‘확인 단계’는 피해자에게 유해한 명령을 실행하는 키보드 단축키를 안내합니다.”라고 말했습니다. “페이지는 실제처럼 보이고 지침은 정상으로 보이며 피해자가 직접 작업을 시작합니다. 이것이 바로 기존 보안 제어가 종종 이를 놓치는 이유입니다.”
이 해킹의 피해자 대부분은 손상이 완료될 때까지 보안이 침해되었다는 사실을 깨닫지 못합니다. 손상이 완료되면 악성 코드도 이미 지워질 것입니다.
“그들은 아직 그것을 모르고 있을 것 같다”고 그녀는 말했다. “만약 그렇다면 어떤 변종이 자신에게 영향을 미쳤는지 식별할 수 없을 것입니다.”
당신을 위한 더 많은 것

50페이지 분량의 이 논문은 오늘날의 블록체인이 여전히 안전하지만 널리 사용되는 암호화를 깨뜨릴 수 있는 미래의 “내결함성 양자 컴퓨터”가 점점 더 그럴듯해지며 준비가 지금 시작되어야 한다고 결론지었습니다.
알아야 할 사항:
- Coinbase가 지원하는 보고서는 양자 컴퓨터가 암호화폐에 즉각적인 위협은 아니지만 업계는 현재의 암호화를 깨뜨릴 수 있는 미래에 대비하기 시작해야 한다고 경고합니다.
- 포스트퀀텀 솔루션이 존재하지만 전환은 복잡하고 비용이 많이 들기 때문에 Ethereum 및 Solana와 같은 주요 암호화폐 생태계가 탐색을 시작하게 됩니다.

