상세 컨텐츠

본문 제목

해커들, ‘집중 타겟’ 아이폰 사용자들을 스파잉 하기 위해 악성 MDM 솔루션 사용 해

국내외 보안동향

by 알약(Alyac) 2018. 7. 17. 13:27

본문

Hackers Used Malicious MDM Solution to Spy On 'Highly Targeted' iPhone Users


보안 연구원들이 “집중 타겟” 모바일 악성코드 캠페인을 발견했습니다. 이는 2015년 8월 이후 부터 활동했으며, 선택 된 인도의 아이폰 13대를 스파잉하고 있었습니다.


인도에 위치하는 것으로 추측 되는 이 공격자는 악성 프로그램을 원격으로 제어 및 배치하기 위해 모바일 기기 관리 프로토콜(MDM)을 악용하고 있는 것으로 드러났습니다. 이는 많은 기업들이 직원들이 사용하는 기기들에 대한 정책을 제어 및 시행하기 위해 사용하는 보안 소프트웨어의 일종입니다.


<이미지 출처: https://blog.talosintelligence.com/2018/07/Mobile-Malware-Campaign-uses-Malicious-MDM.html>


iOS 기기를 MDM에 등록하기 위해서는, 기업이 Apple Developer Enterprise Program을 통해 받을 수 있는 엔터프라이즈 개발 인증서를 사용자가 수동으로 설치해야 합니다.


회사측은 Apple Configurator를 사용해 무선 등록 서비스를 위한 이메일이나 웹페이지를 통해 MDM 설정 파일을 제공할 수 있습니다.


이를 설치하면, 회사 관리자들은 원격으로 기기를 제어, 앱 설치/제거, 인증서 설치/제거, 기기 잠금, 패스워드 요구 변경 등의 작업을 수행할 수 있습니다.


등록 절차의 각 단계마다 아이폰에 CA 설치와 같은 사용자의 상호작용이 필요하기 때문에, 공격자가 어떻게 13개의 타겟 아이폰을 그들의 MDM 서비스에 등록 했는지는 정확히 알 수 없었습니다.


이 캠페인을 발견한 Cisco Talos의 연구원들은 공격자들이 가짜 기술 지원과 같은 소셜 엔지니어링 메커니즘을 사용했거나, 타겟 기기에 물리적으로 접근했을 가능성이 있다고 추측했습니다.



해킹 된 텔레그램 및 왓츠앱을 통한 스파잉


<이미지 출처: https://blog.talosintelligence.com/2018/07/Mobile-Malware-Campaign-uses-Malicious-MDM.html>


연구원들에 따르면, 이 캠페인의 배후에 있는 공격자들은 MDM 서비스를 이용해 타겟 아이폰에 정식 앱의 변조 된 버전을 원격으로 설치했습니다. 이 앱들은 은밀히 사용자들을 스파잉하고 실시간 위치 정보, 연락처, 사진, SMS, 채팅 어플리케이션의 개인 메시지 등을 훔치도록 설계되었습니다.


텔레그램과 왓츠앱과 같은 메시징 앱에 악성 기능을 추가하기 위해, 공격자는 “BOptions 사이드로딩 기술”을 사용했습니다. 이를 통해 정식 앱에 동적 라이브러리를 주입했습니다.


“주입 라이브러리는 추가 권한을 요청하고, 코드를 실행하고, 오리지널 어플리케이션에서 정보를 훔칠 수 있습니다.”


텔레그램과 왓츠앱의 해킹 된 버전에 주입 된 악성코드는 해킹 된 기기의 연락처, 위치, 이미지를 hxxp[:]//techwach[.]com에 위치한 원격 서버로 보내도록 설계되었습니다.


“Talos는 인도의 이 캠페인에서 악성 코드를 실행하는 또 다른 합법적인 앱을 발견했습니다. PrayTime은 사용자들에게 기도 시간이 되면 알림을 울리는데 사용됩니다.”


“목적은 사용자들에게 특정 광고를 다운로드 및 표시하는 것입니다. 이 앱은 개인 프레임워크를 사용해 설치 된 기기의 SMS 메시지를 읽고 이를 C2 서버에 업로드합니다.”


현재 이 캠페인의 배후에 누가 있는지, 누가 이 캠페인의 타겟인지, 이 공격의 동기가 무엇인지는 알려지지 않았습니다. 하지만 연구원들은 공격자가 러시아로 위장한 “false flag”를 심은 채 인도에서 활동한다는 증거를 발견했습니다.


“3년 동안, 공격자들은 적은 수의 기기만을 해킹했기 때문에 발각 되지 않을 수 있었던 것으로 보입니다. 우리는 MDM에 등록 된 테스트 기기가 인도 번호를 사용했으며 인도 업체에 등록 되어있다는 것을 발견했습니다.”


“모든 기술적 세부 정보들을 살펴본 결과, 공격자는 피해자와 동일한 국가인 인도에 위치한 것으로 추측됩니다.”

애플은 Talos측의 제보를 받아 이 캠페인과 연결 된 인증서 3개를 폐지했으며, 나머지 인증서 2개도 취소시켰습니다.




출처 :

https://thehackernews.com/2018/07/mobile-device-management-hacking.html

https://blog.talosintelligence.com/2018/07/Mobile-Malware-Campaign-uses-Malicious-MDM.html



관련글 더보기

댓글 영역