북한 해커, 칸디콘 멀웨어로 암호화 엔지니어를 노리다

크립토포테이토에 따르면, 엘라스틱 보안 연구소가 최근 라자루스 그룹과 연관된 것으로 추정되는 북한 해커의 정교한 사이버 침입을 발견했다고 합니다. REF7001로 추적된 이 사건은 암호화폐 거래소 플랫폼에 관여하는 블록체인 엔지니어를 표적으로 삼도록 특별히 설계된 Kandykorn이라는 새로운 macOS 멀웨어를 사용했습니다. 이 멀웨어는 공개 디스코드 서버의 비공개 메시지를 통해 배포되었는데, 이는 일반적인 macOS 침입 수법과는 다른 방식입니다. 칸디콘 멀웨어는 암호화된 RC4를 사용하고 고유한 핸드셰이크 메커니즘을 구현하여 명령 및 제어(C2) 서버와의 통신을 시작합니다. 이 악성코드는 인내심을 갖고 명령을 기다리면서 해커가 손상된 시스템에 대한 제어권을 은밀하게 유지할 수 있도록 합니다. Elastic Security Labs는 파일 업로드 및 다운로드, 프로세스 조작, 임의의 시스템 명령 실행에 능숙하다는 것을 보여주며 Kandykorn의 기능에 대한 귀중한 인사이트를 제공했습니다. 이 멀웨어는 또한 악명 높은 라자루스 그룹과 관련된 파일리스 실행 기법인 반사적 바이너리 로딩을 활용합니다. 이 공격과 북한의 라자루스 그룹을 연결하는 강력한 증거가 있는데, 여기에는 기술, 네트워크 인프라, 악성 소프트웨어 서명에 사용되는 인증서, 라자루스 그룹 활동 탐지를 위한 맞춤형 방법의 유사성 등이 포함됩니다. 온체인 트랜잭션을 통해 아토믹 월렛, 알파포, 코인페이, 스테이크닷컴, 코인엑스에서 발생한 보안 침해 간의 연관성이 밝혀져 라자루스 그룹이 이러한 익스플로잇에 참여했음을 더욱 입증했습니다. Elastic Security Labs는 이러한 위협으로부터 보호하기 위한 강력한 사이버 보안 조치의 중요성을 강조해 왔습니다.