AppleScript 기반 multi-stage 페이로드 체인을 통한 macOS 권한 탈취

North Korea targets macOS users in latest heist

Jessica Lyons2026년 4월 16일4분intermediate

AI 요약

Context

Hardened Perimeter 중심의 보안 체계가 사회 공학적 기법을 통한 사용자 직접 실행 유도로 무력화됨. 단순 파일 실행을 넘어 macOS 기본 바이너리와 스크립트 에디터를 활용한 신뢰 기반의 공격 경로가 형성됨.

AppleScript (.scpt) 파일을 통한 초기 진입 및 수천 줄의 공백 삽입으로 악성 로직 은폐
정식 서명된 macOS softwareupdate 바이너리를 잘못된 파라미터로 호출하여 실행 프로세스의 정당성 확보
curl 명령어를 통한 multi-stage 페이로드 동적 다운로드 및 실행으로 탐지 회피
User-Agent 문자열을 캠페인 트래킹 식별자로 활용한 단계별 맞춤형 악성코드 배포
NSCreateObjectFileImageFromMemory API를 통한 메모리 직접 로드로 디스크 기반 탐지 우회
OS native password dialog를 모방한 systemupdate.app 실행으로 사용자 자격 증명 탈취 및 Telegram Bot API 기반 외부 전송

실천 포인트

1. 비정상적인 User-Agent 패턴 및 외부 C2 서버로의 curl 요청 모니터링 강화

2. NSCreateObjectFileImageFromMemory와 같은 메모리 로드 API의 호출 스택 검증

3. macOS TCC(Transparency, Consent, and Control) 권한 요청의 맥락적 분석 도입

4. AppleScript 및 osascript의 비정상적 실행 권한 제한 설정 검토

태그