.gif)
액티베이터라는 캠페인이 맥OS 환경에서 공격적으로 진행되고 있다. 크랙된 소프트웨어를 통해 퍼지고 있는데, 지금은 잠깐 휴식을 취하는 것으로 보인다.
[보안뉴스 문가용 기자] 최근 맥OS 사용자들을 겨냥하여 백도어를 유포하고 있는 악성 캠페인이 발견돼 경고가 나왔다. 공격자들은 소프트웨어 제품이라고 속이며 백도어를 퍼트리고 있는 것으로 파악됐다. 다른 OS 환경에서도 여러 번 등장했고, 지금도 등장하고 있는 수법이라고 할 수 있지만 조금은 다른 점이 있어 주의가 필요하다.
[이미지 = gettyimagesbank]
그렇다면 어떤 점에서 이 캠페인은 구체적인 차별성을 보이는 걸까? 일단은 캠페인의 규모가 남다르다. 또한 악성 페이로드를 유포하는 방법이 매우 복잡하고, 많은 단계로 구성되어 있다. 비즈니스 사용자들이 좋아할 만한 맥OS 앱들을 크랙하여 활용한다는 것도 다른 캠페인에서는 잘 볼 수 없는 특성이다. 보안 업체 카스퍼스키(Kaspersky)가 제일 먼저 발견했고, 센티넬원(SentinelOne)도 추가 조사를 통해 토렌트 환경에서 공격이 성행하는 중이라는 경고를 발표했었다.
센티넬원의 보안 분석가 힐 스톡스(Phil Stokes)는 “바이러스토탈에 등록되는 고유 샘플들의 수와 등록 주기를 봤을 때 1월부터 현재까지 맥OS용 멀웨어 중에 이것만큼 활발히, 공격적으로 퍼지고 있는 멀웨어는 없다”고 말한다. 맥OS 환경에서 가장 흔한 멀웨어인 애드웨어와 번들웨어 로더를 앞질렀을 수준인데, “보통 애드웨어나 번들웨어는 셀 수 없이 많은 개인과 조직들이 퍼트리고 있기 때문에 앞지른다는 게 결코 쉬운 일이 아니”라고 설명을 추가한다.
맥OS 봇넷을 구성하려 하는가?
이처럼 규모가 방대한 캠페인이 맥OS 환경에서 돌연 나타나게 된 이유는 무엇일까? 스톡스는 “여러 가지 설명이 있을 수 있지만 가장 먼저 떠오르는 건 맥OS 장비들을 엮은 봇넷을 구성하려 한다는 가능성”이라고 짚는다. 물론 이를 뒷받침할 만한 증거는 없다. 현재 이 캠페인에는 액티베이터(Activator)라는 이름이 붙었다.
현재 액티베이터의 배후에 있는 공격자들은 맥OS 애플리케이션을 무려 70개나 크랙해서 공격에 활용하고 있다. 무료로 배포되는 앱들을 가로채 자신들의 무기로 만든 후 배포하는 전략을 사용하기도 한다. 크랙된 멀웨어는 대부분 기업 환경에서 생산용으로 사용하는 것들로, 스낵잇(Snag It), 나이서스 라이터 엑스프레스(Nisus Writer Express), 라이노8(Rhino-8) 등이다. “이런 모든 앱들에 macOS.Bkdr.Activator가 숨겨져 있습니다. 아무 소프트웨어나 설치할 수 있도록 한 기업이라면 이런 공격에 충분히 당할 수 있습니다.”
소프트웨어를 크랙해 멀웨어를 퍼트리려는 기존 다른 캠페인에서 공격자들은 주로 악성 코드를 앱 자체에 임베드한다. 하지만 액티베이터 공격자들의 경우는 조금 다른 방식을 활용한다.
조금은 다른 방식
액티베이터의 경우 소프트웨어를 크랙한 후, 그 소프트웨어 자체를 감염시키지 않는다고 스톡스는 설명한다. “액티베이터 공격자들이 크랙한 소프트웨어는 설치나 사용이 불가능합니다. 그런데 패키지에 두 개의 실행파일이 추가로 존재합니다. 원래의 소프트웨어가 실행도 되지 않고 오류만 나니 사용자는 뭔가 이상하다고 생각하죠. 그럴 때 알림 창이 뜨면서 이 두 개의 실행파일을 설치 폴더에서 찾아 실행시키라는 안내가 나옵니다. 사용자는 별 다른 의심없이 이를 실행합니다.”
두 개의 악성 파일을 실행시키면 관리자 비밀번호를 입력하라는 창이 뜬다. 비밀번호를 입력하면 이를 통해 맥OS 게이트키퍼가 비활성화 된다. 거기서부터 공격자들은 각종 악성 행위를 실시할 수 있는데, 주로 시스템 알림 기능을 꺼버린다. 그래서 경고 메시지가 사용자들에게 전달되지 않도록 한다. 그렇기에 액티베이터 백도어가 설치되고 실행되며, 또 다른 멀웨어가 다운로드 되더라도 경고가 나타나지 않는다. 액티베이터 자체도 일종의 1단계 멀웨어이기 때문에 추가 페이로드가 피해자 시스템에 설치된다.
카스퍼스키의 멀웨어 분석가 세르게이 푸잔(Sergey Puzan)은 “이번 캠페인에 사용되는 백도어는 파이선을 기반으로 하고 있는데 디스크에 전혀 저장되지 않는다”는 점을 지적한다. “로더 스크립트에서 곧바로 실행되는 것인데요, 이는 컴파일러를 거치지 않는다는 뜻이 됩니다. 공격자들이 연쇄적인 공격을 감행하는 과정 중에 파이선 인터프리터가 개입된다고 볼 수 있습니다.”
그러면서 푸잔도 “맥OS로 구성된 봇넷을 만들고자 하는 게 공격자들의 궁극적 목적이 아닐까 한다”는 의견을 내비친다. “하지만 액티베이터 캠페인은 저희가 보고서를 발표하고나서 지금까지 진행되지 않고 있습니다. 휴면기인지 활동이 아예 종료된 것인지는 알 수 없습니다만 봇넷을 구성하는 게 목적이라면 지금 이 시간에도 바쁘게 움직였어야 하는 게 보통이라 의아하긴 합니다.”
3줄 요약
1. 맥OS 생태계에서 요 몇 달 가장 활발히 나타나고 있는 악성 캠페인은 ‘액티베이터.’
2. 규모가 너무 크고, 크랙된 소프트웨어를 적극 활용한다는 점에서 차별됨.
3. 공격자들의 궁극적 목적은 아직 확실치 않으나 ‘맥OS 봇넷 구성’에 무게가 실림.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 최근 맥OS 사용자들을 겨냥하여 백도어를 유포하고 있는 악성 캠페인이 발견돼 경고가 나왔다. 공격자들은 소프트웨어 제품이라고 속이며 백도어를 퍼트리고 있는 것으로 파악됐다. 다른 OS 환경에서도 여러 번 등장했고, 지금도 등장하고 있는 수법이라고 할 수 있지만 조금은 다른 점이 있어 주의가 필요하다.
[이미지 = gettyimagesbank]
그렇다면 어떤 점에서 이 캠페인은 구체적인 차별성을 보이는 걸까? 일단은 캠페인의 규모가 남다르다. 또한 악성 페이로드를 유포하는 방법이 매우 복잡하고, 많은 단계로 구성되어 있다. 비즈니스 사용자들이 좋아할 만한 맥OS 앱들을 크랙하여 활용한다는 것도 다른 캠페인에서는 잘 볼 수 없는 특성이다. 보안 업체 카스퍼스키(Kaspersky)가 제일 먼저 발견했고, 센티넬원(SentinelOne)도 추가 조사를 통해 토렌트 환경에서 공격이 성행하는 중이라는 경고를 발표했었다.
센티넬원의 보안 분석가 힐 스톡스(Phil Stokes)는 “바이러스토탈에 등록되는 고유 샘플들의 수와 등록 주기를 봤을 때 1월부터 현재까지 맥OS용 멀웨어 중에 이것만큼 활발히, 공격적으로 퍼지고 있는 멀웨어는 없다”고 말한다. 맥OS 환경에서 가장 흔한 멀웨어인 애드웨어와 번들웨어 로더를 앞질렀을 수준인데, “보통 애드웨어나 번들웨어는 셀 수 없이 많은 개인과 조직들이 퍼트리고 있기 때문에 앞지른다는 게 결코 쉬운 일이 아니”라고 설명을 추가한다.
맥OS 봇넷을 구성하려 하는가?
이처럼 규모가 방대한 캠페인이 맥OS 환경에서 돌연 나타나게 된 이유는 무엇일까? 스톡스는 “여러 가지 설명이 있을 수 있지만 가장 먼저 떠오르는 건 맥OS 장비들을 엮은 봇넷을 구성하려 한다는 가능성”이라고 짚는다. 물론 이를 뒷받침할 만한 증거는 없다. 현재 이 캠페인에는 액티베이터(Activator)라는 이름이 붙었다.
현재 액티베이터의 배후에 있는 공격자들은 맥OS 애플리케이션을 무려 70개나 크랙해서 공격에 활용하고 있다. 무료로 배포되는 앱들을 가로채 자신들의 무기로 만든 후 배포하는 전략을 사용하기도 한다. 크랙된 멀웨어는 대부분 기업 환경에서 생산용으로 사용하는 것들로, 스낵잇(Snag It), 나이서스 라이터 엑스프레스(Nisus Writer Express), 라이노8(Rhino-8) 등이다. “이런 모든 앱들에 macOS.Bkdr.Activator가 숨겨져 있습니다. 아무 소프트웨어나 설치할 수 있도록 한 기업이라면 이런 공격에 충분히 당할 수 있습니다.”
소프트웨어를 크랙해 멀웨어를 퍼트리려는 기존 다른 캠페인에서 공격자들은 주로 악성 코드를 앱 자체에 임베드한다. 하지만 액티베이터 공격자들의 경우는 조금 다른 방식을 활용한다.
조금은 다른 방식
액티베이터의 경우 소프트웨어를 크랙한 후, 그 소프트웨어 자체를 감염시키지 않는다고 스톡스는 설명한다. “액티베이터 공격자들이 크랙한 소프트웨어는 설치나 사용이 불가능합니다. 그런데 패키지에 두 개의 실행파일이 추가로 존재합니다. 원래의 소프트웨어가 실행도 되지 않고 오류만 나니 사용자는 뭔가 이상하다고 생각하죠. 그럴 때 알림 창이 뜨면서 이 두 개의 실행파일을 설치 폴더에서 찾아 실행시키라는 안내가 나옵니다. 사용자는 별 다른 의심없이 이를 실행합니다.”
두 개의 악성 파일을 실행시키면 관리자 비밀번호를 입력하라는 창이 뜬다. 비밀번호를 입력하면 이를 통해 맥OS 게이트키퍼가 비활성화 된다. 거기서부터 공격자들은 각종 악성 행위를 실시할 수 있는데, 주로 시스템 알림 기능을 꺼버린다. 그래서 경고 메시지가 사용자들에게 전달되지 않도록 한다. 그렇기에 액티베이터 백도어가 설치되고 실행되며, 또 다른 멀웨어가 다운로드 되더라도 경고가 나타나지 않는다. 액티베이터 자체도 일종의 1단계 멀웨어이기 때문에 추가 페이로드가 피해자 시스템에 설치된다.
카스퍼스키의 멀웨어 분석가 세르게이 푸잔(Sergey Puzan)은 “이번 캠페인에 사용되는 백도어는 파이선을 기반으로 하고 있는데 디스크에 전혀 저장되지 않는다”는 점을 지적한다. “로더 스크립트에서 곧바로 실행되는 것인데요, 이는 컴파일러를 거치지 않는다는 뜻이 됩니다. 공격자들이 연쇄적인 공격을 감행하는 과정 중에 파이선 인터프리터가 개입된다고 볼 수 있습니다.”
그러면서 푸잔도 “맥OS로 구성된 봇넷을 만들고자 하는 게 공격자들의 궁극적 목적이 아닐까 한다”는 의견을 내비친다. “하지만 액티베이터 캠페인은 저희가 보고서를 발표하고나서 지금까지 진행되지 않고 있습니다. 휴면기인지 활동이 아예 종료된 것인지는 알 수 없습니다만 봇넷을 구성하는 게 목적이라면 지금 이 시간에도 바쁘게 움직였어야 하는 게 보통이라 의아하긴 합니다.”
3줄 요약
1. 맥OS 생태계에서 요 몇 달 가장 활발히 나타나고 있는 악성 캠페인은 ‘액티베이터.’
2. 규모가 너무 크고, 크랙된 소프트웨어를 적극 활용한다는 점에서 차별됨.
3. 공격자들의 궁극적 목적은 아직 확실치 않으나 ‘맥OS 봇넷 구성’에 무게가 실림.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
 TH.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
