최신 보안 연구에 따르면, 북한의 해킹 그룹 라자루스 그룹과 블루노로프가 연관된 새로운 macOS 악성코드 'TodoSwift(투두스위프트)'가 발견되었다. 이 악성코드는 이미 알려진 북한산 악성코드인 KANDYKORN 및 RustBucket과 유사한 점이 다수 발견됐다.

투두스위프트는 2023년 중반에 처음 등장한 RustBucket과 KANDYKORN과 여러 면에서 유사한 행동을 보인다. KANDYKORN은 암호화폐 거래소의 블록체인 엔지니어들을 타겟으로 한 공격에서 사용된 악성코드로, 피해자의 시스템에 침투해 데이터를 유출할 수 있는 능력을 가지고 있다. RustBucket은 애플스크립트 기반의 백도어로, 명령 및 제어 서버로부터 추가 악성 페이로드를 다운로드하는 기능이 있다.

투두스위프트는 합법적인 macOS 애플리케이션처럼 위장된 드로퍼 컴포넌트를 통해 배포된다. 이번 사례에서 악성코드는 SwiftUI로 작성된 TodoTasks 애플리케이션 형태로, 사용자가 비트코인과 관련된 무해한 PDF 문서를 열도록 유도한다. 그러나 이 문서를 열면 악성코드는 비밀리에 두 번째 단계의 파일을 다운로드하고 실행한다. 이러한 감염 방식은 RustBucket에서 사용된 방법과 매우 유사하다.

라자루스와 블루노로프는 주로 암호화폐 분야를 타겟으로 공격을 수행해 왔다. 이들의 목적은 국제 제재를 회피하고 북한 정부의 자금을 조달하기 위해 암호화폐를 탈취하는 것이다. 신뢰를 이용해 피해자를 속이는 정교한 도메인과 구글 드라이브 URL을 사용해 악성 파일을 배포하는 것이 이들의 주요 전략이다.

이러한 공격의 정교함과 진화하는 속도를 감안할 때, 특히 암호화폐 산업에 종사하는 사용자들은 더욱 경각심을 가져야 한다. 의심스러운 이메일 첨부파일을 열지 않도록 주의하고, 최신 보안 패치가 적용된 macOS를 사용하며, TodoSwift(투두스위프트)와 같은 고도의 위협을 탐지하고 차단할 수 있는 신뢰할 만한 백신 소프트웨어를 설치하는 것이 중요하다고 전문가들은 강조하고 있다. 

라자루스 그룹이 지속적으로 전술을 발전시키고 있는 가운데, 투두스위프트의 발견은 북한 해킹 그룹이 암호화폐 산업에 끼치는 지속적인 위협을 잘 보여준다. 

[PASCON 2024] 하반기 최대 사이버보안 컨퍼런스 초대!(보안담당자 7시간 보안교육이수)
▶주최: 데일리시큐
▶후원: 개인정보보호위원회, 한국정보보호산업협회   
▶대상: 정부·공공·공기업·정부산하기관·금융·의료·교육·일반기업 개인정보보호 및 정보보안 담당자 1,000여명 (단, 현업 보안실무자 이외 프리랜서, 학생, 일반인 등은 보안과 관련 없는 자는 참석 금지)
▶일시: 2024년 9월 10일 화요일 오전 9시~오후 5시
▶장소: 더케이호텔서울 2층 가야금홀+거문고홀A 및 로비
▶인원: 개인정보보호 및 정보보안 실무자 1,000여 명
▶전시회: 국내외 최신 보안솔루션 전시회(30여개 기업 참여)
▶참가비: 무료/1일 주차권 지급/점심식사는 제공하지 않습니다.
▶보안교육: 사전등록+현장참석+설문제출자에 한해 7시간 교육이수증 발급
▶사전등록: 9월 8일 오후 5시 마감
▶사전등록링크:클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★