“macOS는 안전하다”는 말, 이제 옛말입니다.
이제는 북한 연계 해커들까지 애플 macOS 생태계를 적극 노리고 있다는 사실, 알고 계셨나요? 😨
최근 보안업계는 북한과 연계된 위협 그룹이 Web3와 암호화폐 기업을 타깃으로
정교하게 설계된 macOS용 멀웨어 캠페인을 벌이고 있다는 충격적인 사실을 밝혀냈습니다.
이 공격은 단순한 수준이 아닌, 다단계 공격 체인, 희귀 언어(Nim) 활용,
그리고 macOS 특유의 프로세스 권한과 시그널 처리까지 깊숙이 파고드는 방식으로 구성되어 있어요.
🎯 타깃은 Web3와 암호화폐 산업
이 캠페인의 이름은 ‘NimDoor’.
북한과 연계된 해커들이 Telegram을 이용한 사회공학적 공격을 시작으로
암호화폐 기업 종사자들의 macOS 시스템을 노리고 침투합니다.
공격은 이렇게 시작돼요:
- Telegram에서 지인으로 가장
- “Zoom SDK 업데이트 스크립트” 실행 요청
- 사용자가 AppleScript를 실행하면 악성 페이로드 다운로드
- 이어지는 C++과 Nim 기반 이중 실행 체인 구성
⚙️ AppleScript + Nim + C++ + Bash = 최악의 조합
해커들이 사용하는 툴킷은 굉장히 복잡해요. 한 눈에 보면:
- AppleScript: 초기 페이로드 전달, 간단한 C2 비콘
- Bash Script: 브라우저/텔레그램/Keychain 데이터 탈취
- C++: 프로세스 인젝션(InjectWithDyldArm64)
- Nim: 신호 기반(Signal-based) 지속성 유지, 비동기 실행, 은밀한 제어 흐름
이 모든 구성 요소들이 macOS 전용으로 설계되어 있다는 점이 특히 위협적이에요.
💉 희귀한 ‘프로세스 인젝션’ 기법
C++로 작성된 바이너리 InjectWithDyldArm64는 macOS에서 거의 쓰이지 않는
com.apple.security.cs.debugger 권한을 요구하는 프로세스 인젝션을 수행합니다.
이는 일반적으로 디버깅용 권한인데, 이 권한을 통해 정상 프로세스에 악성코드를 삽입하죠.
삽입된 페이로드는 trojan1_arm64로 불리며,
TLS 암호화된 WebSocket(wss://)을 통해 명령을 받고 데이터를 빼돌립니다.
🧠 신호 기반 지속성? SIGINT를 가로챈다고?
Nim으로 작성된 주요 바이너리들은 매우 독특한 방식으로 지속성을 확보해요.
SIGINT, SIGTERM 시그널을 가로채면 자동으로 다시 설치하거나
백그라운드에서 재실행되도록 설계된 구조죠. 😱
예시:
- installer
- GoogIe LLC
- CoreKitAgent
이런 구성은 시스템이 종료되거나 프로세스가 강제로 중단돼도,
다시 실행되도록 설정되어 있습니다. macOS 사용자 입장에서는 알아차리기 어렵죠.
🕵️ 탈취 대상은?
탈취 대상은 생각보다 광범위합니다:
- 🔐 macOS Keychain (암호저장소)
- 🌐 Chrome, Firefox 등 브라우저 데이터 (쿠키, 세션, 로그인 정보 등)
- 📬 Telegram 데이터베이스
- 📎 시스템 정보 및 실행 중인 프로세스 목록
이 데이터들은 압축되어 다음의 C2 서버로 전송됩니다:
- dataupload[.]store
- firstfromsep[.]online
- safeup[.]store
- writeup[.]live
💡 왜 Nim이 문제인가?
이 캠페인의 핵심은 바로 프로그래밍 언어 Nim의 활용입니다.
Nim은 거의 사용되지 않지만 다음과 같은 이유로 해커들에게 인기가 올라가고 있어요:
- ✅ 컴파일 타임에 함수 실행 가능 → 흐름 추적 어렵게 만듦
- ✅ macOS에서도 네이티브 실행 가능
- ✅ 안티 바이러스 탐지율 낮음
- ✅ 정적 분석을 회피하는 비동기 로직 내장
요약하면, 탐지 어렵고 분석도 힘든 멀웨어를 만들기에 딱 좋은 언어라는 거죠. 😓
🧪 대표 IoC (Indicators of Compromise)
구분 | IoC | 설명 |
도메인 | dataupload[.]store | 데이터 업로드용 C2 |
도메인 | writeup[.]live | AppleScript 비콘 |
바이너리 경로 | ~/Library/Application Support/Google LLC/GoogIe LLC | 악성 페이로드 경로 |
파일 | .ses | AppleScript 실행 흔적 |
스크립트 | zoom_sdk_support.scpt | 초기 침투용 AppleScript |
🛡️ 어떻게 대응해야 할까?
✅ macOS 기업 보안도 제로트러스트로!
- macOS도 EDR 수준의 행동 기반 탐지가 필수입니다.
- 정기적으로 ~/Library, ~/LaunchAgents 등을 점검하고,
이상한 이름의 실행 파일이나 시그널 핸들러가 등록된 프로세스를 모니터링하세요.
✅ Telegram, Discord 통한 피싱 주의
- “이거 Zoom 업데이트 좀 해줘” 같은 요청은 100% 의심하세요.
- Web3/Web5 개발자나 크립토 종사자는 사회공학적 공격의 최우선 타깃입니다.
✅ Nim 기반 멀웨어 사전 탐지 툴 확보
- VirusTotal이나 YARA 룰로 Nim 패턴을 잡는 커스텀 탐지 체계를 구성하세요.
- 공개된 NimDoor 관련 해시 값은 EDR에 적용해서 사전 차단 설정 필요합니다.
'CyberSecurity > Security🔐' 카테고리의 다른 글
⚠️ Grafana 플러그인 취약점 4종 긴급 패치! 지금 바로 업데이트하세요 (2) | 2025.07.08 |
---|---|
⚡ 멀티플랫폼 랜섬웨어 'Bert(Water Pombero)'의 초고속 공격, 왜 위험한가? (4) | 2025.07.08 |
🎯 패치도 공격이다? 중국 연계 해커 ‘Houken’의 충격적 전략! (0) | 2025.07.03 |
🔐 크롬과 파이어폭스, 동시에 뚫렸다! 브라우저 보안 위협 경보 🚨 (2) | 2025.07.02 |
🌐 AI 크롤링 차단, 이제는 '기본값'! Cloudflare가 인터넷의 미래를 다시 설계하다 (2) | 2025.07.02 |