위협 인텔리전스: 토큰 베스팅 피싱 및 스팟 분석

최근 체인베이스 랩스는 "감사/규정 준수 확인"으로 위장한 피싱 이메일 캠페인을 탐지 및 포착하여 익명 처리된 악성 샘플을 슬로우 미스트 (SlowMist) 보안팀과 공유했습니다. 양사는 해당 악성 샘플을 공동으로 조사 및 분석했습니다.

저자: 야오

편집자: 77

배경

최근 체인베이스 랩스는 "감사/규정 준수 확인"으로 위장한 피싱 이메일 캠페인을 탐지 및 포착하여 익명 처리된 악성 샘플을 슬로우 미스트 (SlowMist) 보안팀과 공유했습니다. 양사는 해당 악성 샘플을 공동으로 조사 및 분석했습니다.

공격자들은 먼저 수신자가 "회사의 법적 영문 명칭을 확인해 달라"는 요청을 보내도록 유도한 다음, "2025 회계연도 외부 감사"나 "토큰 베스팅 확인 마감일"과 같은 문구를 덧붙여 악성 Word/PDF 파일을 첨부합니다. 사회공학적 기법을 통해 피해자가 첨부 파일을 열고 지시를 따르도록 유도하여 자격 증명이나 민감한 데이터를 탈취합니다.

트로이목마 분석

이번에 포착된 공격 캠페인은 macOS 플랫폼을 대상으로 한 표적 공격으로, 소셜 엔지니어링과 다단계 파일리스 페이로드(일부 단계는 주로 메모리 실행/임시 파일 형태로 존재)를 결합했습니다. 공격자들은 "감사 준수"라는 매력적인 업무 로직을 초기 진입점으로 활용하여 위장된 AppleScript 스크립트를 사용하고, 유도된 권한 부여 및 TCC 우회를 통해 더 높은 시스템/개인 정보 권한을 획득하려 시도했으며, 최종적으로 피해자 시스템에 Node.js 기반 원격 제어 환경을 구축했습니다.

샘플 파일의 특징을 바탕으로 판단했을 때, 이메일 첨부 파일의 이름은 "Confirmation_Token_Vesting.docx.scpt"이며, 이는 실제로 이중 확장자를 사용하여 docx 문서처럼 위장한 AppleScript 스크립트(.scpt)입니다.

스크립트 내용을 해독한 결과, 첫 번째 단계(초기)의 AppleScript는 주로 후속 악성 코드를 배포하는 데 사용된 것으로 드러났습니다.

1. macOS 시스템 설정 페이지를 열고 "소프트웨어 업데이트"로 전환하여 시스템이 소프트웨어 업데이트/복구 중이라고 사용자를 속입니다.

2. CPU 아키텍처(인텔/애플 실리콘), macOS 버전 번호, 시스템 언어 등과 같은 시스템 정보를 수집하여 서버로 전송하면 서버는 어떤 종류의 페이로드를 전송할지 결정할 수 있습니다.

3. 의심스러운 도메인 sevrrhst[.]com에서 스크립트를 다운로드하고 실행한 다음 흔적을 지웁니다.

다운로드한 스크립트를 해독 및 분석한 결과, 정보 탈취, 권한 우회, 원격 명령 실행 기능을 갖춘 악성 AppleScript임이 확인되었습니다.

악성 스크립트의 주요 동작:

1. 가짜 진행률 표시줄

스크립트는 먼저 "시스템 업데이트 문제 해결 중" 또는 "문서 뷰어 문제 해결 중"이라고 표시하는 가짜 진행률 표시줄 창을 띄웁니다.

2. 피싱 팝업

진행률 표시줄이 실행되는 동안, 매우 사실적인 시스템 권한/암호 입력 대화 상자가 나타납니다(시스템 설정 프롬프트처럼 위장되어 있으며, 인터페이스에는 Google 아바타 요소가 포함되어 있습니다).

비밀번호 도용: 사용자가 비밀번호를 입력하고 "확인"을 클릭하면 스크립트가 dscl 명령어를 호출하여 비밀번호가 올바른지 확인합니다.

서버로 돌아가기: 비밀번호 확인이 성공하면 즉시 curl을 사용하여 수집된 사용자 이름과 비밀번호를 Base64로 인코딩하여 서버 sevrrhst[.]com으로 다시 보냅니다.

3. TCC 제한 우회

해당 스크립트는 macOS의 TCC(투명성, 동의 및 제어) 개인정보 보호 데이터베이스를 수정하려고 시도합니다.

디렉터리 스푸핑: TCC 데이터베이스 관련 디렉터리(com.apple.TCC)의 이름을 변경하여 시스템 보호 메커니즘을 우회하려는 시도입니다.

자동 권한 부여: 사용자가 모르는 사이에 SQL 문을 데이터베이스에 직접 삽입하여 자신(및 Bash, 터미널, 스크립트 편집기)에게 다음과 같은 권한을 부여합니다.

파일 접근 권한: 다운로드 폴더, 문서, 바탕 화면, 외장 디스크 등

개인 정보 보호/제어 권한: 카메라, 화면 녹화, 키보드 이벤트 수신, 접근성 기능 등

4. "origin"이라는 이름의 암호화된 데이터를 다운로드하고, 해독하고, 실행할 수 있는 백도어 채널을 계속 구축하십시오 . 원격 명령을 수신하고 Bash에서 실행할 수 있도록 서버와의 통신 채널을 구축하십시오.

Node.js 환경을 준비한 후, 핵심 스크립트인 index.js를 가져오기 위해 또 다른 요청(req=skip)을 보내고 애플리케이션을 시작하세요.

index.js는 시스템 버전, CPU, 디스크, 네트워크 및 프로세스와 같은 정보를 수집하고 보고합니다. 그러면 서버는 이 정보를 기반으로 새로운 스크립트 코드를 생성하고, 샘플은 eval을 사용하여 이 코드를 동적으로 실행함으로써 지속적인 확장성을 구현합니다.

악성 도메인 분석

위협 인텔리전스 플랫폼 쿼리에 따르면, sevrrhst[.]com 도메인은 2026년 1월 23일에 저렴한 무료 인증서를 사용하여 등록되었으며, 전형적인 "빠른 폐기" 특성을 보입니다. 해당 도메인의 DNS 확인은 "88.119.171.59" IP 주소와 연결되어 있습니다.

추가 조사 결과 이 ​​IP 주소는 tattomc[.]com 및 stomcs[.]com을 포함하여 10개 이상의 유사한 악성 도메인과 연관되어 있는 것으로 나타났습니다.

요약하다

이 샘플은 단일 정보 탈취 공격이 아니라 단계적 침투 공격입니다. 먼저 AppleScript를 사용하여 상호 작용을 유도하고 자격 증명을 탈취하거나 권한 상승을 시도한 다음, Node.js(index.js)를 사용하여 동적으로 확장 가능한 원격 제어 실행 프레임 구축합니다. 이러한 공격 방식은 "정상적인 도구를 악용하는 것 + 동적인 코드 배포/실행"이라는 특징을 가지고 있어 정적인 특징에 의존하는 탐지 전략으로는 탐지하기 어렵습니다.

제안:

1. 만약 실수로 이메일 첨부파일/스크립트를 클릭하여 실행했거나(또는 시스템 암호를 입력한 경우), 즉시 네트워크 연결을 끊으십시오. 증거 수집, 격리, 중요 자산 백업/이송을 완료한 후에만 추가 조치를 진행하십시오.

2. 감염된 사용자는 `tccutil reset All` 명령을 실행하여 TCC 데이터베이스를 초기화하고 트로이목마가 불법적으로 획득한 권한을 제거합니다.

3. 악성 프로그램 프로세스를 정리하고 숨겨진 디렉터리에 있는 악성 Node.js 프로세스를 종료합니다.

체인베이스 랩스 소개

체인베이스 랩스는 데이터를 재정의하여 AI 시대에 진정으로 중요한 금융 자산으로 만들고 있습니다. 체인베이스는 슈퍼 데이터 네트워크를 구축하여 온체인 전반에 흩어져 있는 다양한 신호를 구조화되고 검증 가능한 데이터로 변환함으로써 AI 모델, 자율 에이전트 및 다양한 탈중앙화 애플리케이션에서 직접 활용할 수 있도록 합니다.

현재까지 체인베이스 네트워크는 200개 이상의 블록체인을 포괄하며 5천억 건 이상의 데이터 요청을 처리했고, 3만 5천 명 이상의 개발자 커뮤니티를 지원하고 있습니다. 현재 1만 개 이상의 프로젝트에서 체인베이스를 활용하고 있으며, 보안 인프라, L2 블록체인 익스플로러, 스마트 에이전트 프로토콜, 온체인 데이터 분석 등 다양한 시나리오에 걸쳐 응용 프로그램을 개발하고 있습니다.

IOC

파일명: Confirmation_Token_Vesting.docx.scpt

SHA256:

3e4d35903c51db3da8d4bd77491b5c181b7361aaf152609d03a1e2bb86faee43

파일명: env_arm.zip

SHA256:

f9e0376114c57d659025ceb46f1ef48aa80b8af5909b2de0cf80e88040fef345

파일명: index.js

SHA256:

0f1e457488fe799dee7ace7e1bc2df4c1793245f334a4298035652ebeb249414

URL:

https://sevrrhst[.]com/css/controller.php

https://sevrrhst[.]com/inc/register.php

C2: sevrrhst[.]com

IP: 88.119.171.59

면책 조항: 본 사이트는 블록체인 정보 플랫폼으로서, 사이트에 게시된 글은 필자 및 초청 연사의 개인적인 관점 일 뿐이며 Web3Caff의 공식적인 입장을 반영하는 것은 아닙니다. 본 글에 포함된 정보는 참고용일 뿐이며 투자 자문 또는 투자 제안으로 간주될 수 없습니다. 각 국가 또는 지역의 관련 법률 및 규정을 준수하시기 바랍니다.