FinSpy의 맥/리눅스 버전, 이집트 스파잉 캠페인에서 발견돼

Unknown FinSpy Mac and Linux versions found in Egypt

 

국제 앰네스티에서 이집트의 시민 단체를 노리는 새로운 스파잉 캠페인을 발견했습니다. 이들은 악명높은 FinSpy 감시 스파이웨어의 이전에 알려지지 않은 새로운 버전을 사용했습니다.

 

이 캠페인에 사용된 FinSpy의 새로운 버전은 리눅스 및 맥OS 시스템에서 스파잉이 가능합니다.

 

Finisher(FinFisher로도 알려짐)는 정부 및 법 집행 기관에서 조사용으로 사용하는 멀티 플랫폼 감시 소프트웨어입니다. 하지만 이는 압제 정권이 반 체제 인사, 활동가, 언론을 감시하는데 사용한 것으로 알려졌습니다.

 

이는 2011년부터 바레인, 에티오피아, UAE를 포함한 많은 국가의 인권 수호자(HRD)를 노린 공격에 사용되었습니다.

 

FinSpy는 안드로이드, iOS, 윈도우, 맥OS, 리눅스 등 널리 사용되는 데스크톱 및 모바일 OS를 스파잉할 수 있습니다. 감염된 기기의 통신을 도청하고 저장된 데이터를 훔치기 위해 사용자 기기를 스파잉 툴로 사용하고 웹캠과 마이크를 제어할 수 있습니다.

 

국제 앰네스티는 FinSpy 스파이웨어의 새로운 버전을 사용한 배후는 지금껏 알려지지 않은 새로운 해킹 그룹이며 2019년 9월부터 정부의 지원을 받는 새로운 공격자가 개입했을 것으로 추측했습니다.

 

연구원들은 과거에 이집트 NGO를 노린 또 다른 해킹 그룹인 NilePhish의 활동을 조사하고 있던 중 새로운 스파이어웨어 샘플을 발견하고 이를 바이러스 토탈에 업로드했습니다.

 

“이 그룹의 활동에 대한 조사를 계속 하는 동안 가짜 어도비 플래시 플레이어 다운로드 웹사이트를 통해 마이크로소프트 윈도우용 FinSpy 샘플이 배포되고 있는 것을 발견했습니다. 국제 앰네스티는 FinFisher 제품과 직접적으로 연결된 NilePhish의 인권 침해 사항을 문서화하지 않았습니다.”

 

바이너리는 난독화되어 있었으며 가상 머신 환경에서 실행 중인지 탐지하기 위한 몇 가지 검사를 수행합니다.

 

이 감시 소프트웨어의 모바일 버전은 감염 첫 단계에서 익스플로잇을 통해 루트 권한을 얻습니다. 익스플로잇이 동작하지 않으면 악성코드는 사용자에게 다음 단계 인스톨러를 설치하기 위한 권한을 부여할 것을 요구합니다.

 

아래는 리눅스용 FinSpy의 감염 체인입니다.

 

 

<이미지 출처: https://www.amnesty.org/en/latest/research/2020/09/german-made-finspy-spyware-found-in-egypt-and-mac-and-linux-versions-revealed/>

 

연구원들은 기기가 해킹되었는지 확인할 수 있도록 침해 지표(IoC)를 공개했습니다.

현재 알약에서는 해당 악성코드 샘플을 'Trojan.OSX.FinSpy'로 탐지 중에 있습니다. 

 

 

 

출처:

https://securityaffairs.co/wordpress/108827/malware/finspy-spyware-target-egypt.html

https://www.amnesty.org/en/latest/research/2020/09/german-made-finspy-spyware-found-in-egypt-and-mac-and-linux-versions-revealed/

https://github.com/AmnestyTech/investigations