북한 해커, 맥 os 노린 맞춤형 백도어 배포 ··· 비주류 언어 ‘님’ 활용

‘줌 회의 초대장’ 으로 사용자 사용자 유인

이번 공격은 4 월부터 시작됐으며, 헌터빌 .it (Huntabil.it) 와 헌트리스 (Huntress) 가 먼저 발견해 발견해 분석을 진행했다. 공격자는 2017 년부터 활동한 것으로 알려진 북한 산하 하위 그룹으로 그룹으로, 보안 업계에서는 Ta444, 블루노로프 (Bluenoroff), 사파이어슬리트 (saphir saphir), 코페르니시움 (Copernicium), 스타더스트 촐리마 (Stardust Chollima), 케이지카멜레온 (Cageychameeon) 등 다양한 이름으로 추적되고 있다.

피해자는 익숙한 지인의 모습을 가장한 공격자로부터 텔레그램을 통해 미팅 일정을 잡자는 메시지를 메시지를 받았다. 이후 캘렌들리 (Calendly) 를 통해 회의 일정을 정하고, 가짜 이메일과 함께 줌 줌 (zoom) 미팅 초대장 및 ‘Zoom Sdk 업데이트 스크립트’ 실행 지시를 받았다.

해당 스크립트는 애플의 Applecript 언어로 작성된 zoom_sdk_support.scpt 로, 1 만 줄의 공백으로 악성 코드를 숨기고 있다. 이 스크립트는 ‘zoom’ 이라는 단어가 포함된 공격자 소유 도메인에서 2 단계 스크립트를 다운로드하며, 해당 스크립트는 사용자를 실제 줌 회의 링크로 리디렉션하는 Html 스크립트를 실행해 공격 흐름을 감추는 방식으로 방식으로 동작한다.