>
연구(Insikt)

"마코폴로"의 여정: 자칭 회의 소프트웨어 Vortax, 인포스틸러 확산, 악성 macOS 애플리케이션의 광범위한 네트워크 공개

게시일: 2024년 6월 17일
작성자: Insikt Group®

insikt-group-logo-updated-3-300x48.png

레코디드 퓨처의 인식트 그룹은 가상 회의 소프트웨어로 알려진 볼택스(Vortax)가 라다만티, 스틸크, 아토믹 맥OS 스틸러(AMOS) 등 세 가지 인포스틸러를 유포한다는 사실을 확인했습니다. 이 광범위한 캠페인은 암호화폐 사용자를 대상으로 하며, macOS 취약점을 악용합니다. 위협 행위자 '마크폴로'가 운영하는 이 캠페인은 macOS 보안에 중대한 영향을 미치며, AMOS 공격의 증가 가능성을 시사합니다.

"마코폴로"의 여정: 자칭 회의 소프트웨어 Vortax, 인포스틸러 확산, 악성 macOS 애플리케이션의 광범위한 네트워크 공개

레코디드 퓨처 멀웨어 인텔리전스의 데이터를 모니터링하던 중 레코디드 퓨처의 인식트 그룹은 가상 회의 소프트웨어로 추정되는 볼택스와 관련된 광범위한 사이버 공격 캠페인을 발견했습니다. 다운로드 및 설치가 완료되면 Vortax는 세 가지 강력한 정보 탈취 프로그램인Rhadamanthys, Stealc, Atomic macOS Stealer(AMOS)를 제공합니다. 주로 암호화폐 사용자를 대상으로 한 이 캠페인은 macOS 보안 위협이 크게 증가했으며, 광범위한 악성 애플리케이션 네트워크가 발견되었습니다.

주요 연구 결과

  • Vortax와 관련 애플리케이션은 암호화폐 도용을 목표로 하는 광범위한 캠페인에 사용되어 macOS 사용자에게 큰 영향을 미쳤습니다. 이 캠페인은 이전에 보고된 웹3 게임을 표적으로 하는 캠페인과 연결되어 있으며, 동일한 위협 행위자("markopolo")가 두 캠페인의 배후에 있음을 시사합니다.
  • 마크폴로는 민첩성을 위해 공유 호스팅과 C2 인프라를 사용하여 새로운 사기가 감지되면 신속하게 대응합니다.
  • 이 캠페인은 광범위한 크리덴셜 수집 작업을 나타내며, 잠재적으로 마크폴로가 초기 액세스 브로커 또는 "로그 공급업체" 로 러시아 마켓이나 2easy Shop과 같은 다크 웹 상점에 위치할 수 있습니다.

완화 조치

  • 감염을 방지하기 위해 AMOS에 대한 탐지 시스템을 정기적으로 업데이트하세요.
  • 특히 소셜 미디어나 검색 엔진에서 승인되지 않은 소프트웨어를 다운로드할 때의 위험성에 대해 사용자에게 교육하세요.
  • 라이선스가 없는 소프트웨어의 다운로드를 방지하기 위해 엄격한 보안 제어를 구현합니다.
  • 사용자가 소셜 미디어 및 기타 플랫폼에서 발견한 의심스러운 활동을 신고하도록 장려하세요.
  • 레코디드 퓨처 고객은 레코디드 퓨처 멀웨어 인텔리전스를 사용하여 악성 macOS 애플리케이션의 위협을 식별하고 완화하여 AMOS C2 인프라에 대한 연결을 분석할 수 있습니다. 레코디드 퓨처 네트워크 인텔리전스와 결합하여 AMOS 빌드와 관련된 악성 도메인 및 IP 주소를 식별하는 데 도움이 됩니다.
  • 기록된 미래 인텔리전스 클라우드, 위협 맵, 취약성 인텔리전스, 공격 표면 인텔리전스의 사용자 지정 감시 목록을 통해 기술 스택을 모니터링하면 인포스틸러 위협에 대한 가시성이 향상됩니다.
  • 또한, 기록된 미래 신원 정보 및 브랜드 인텔리전스는 AMOS 인포스틸러 로그, 데이터베이스 침해 및 콤보 목록에서 유출된 인증 정보에 대한 인사이트를 제공합니다.

이 캠페인은 최신 사이버 위협의 적응성과 확장성을 보여줍니다. macOS 멀웨어에 대한 수요가 증가함에 따라 조직은 macOS 보안에 대한 인식을 전환하고 강력한 방어 전략을 채택해야 합니다. 이러한 위협을 모니터링하고 완화하는 것은 안전한 디지털 환경을 유지하는 데 매우 중요합니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

관련