상세 컨텐츠

본문 제목

러시안 해커들과 관련 된 새로운 Mac OS용 악성코드, iPhone의 패스워드와 백업들 탈취 가능해

국내외 보안동향

by 알약(Alyac) 2017. 2. 18. 09:00

본문

러시안 해커들과 관련 된 새로운 Mac OS용 악성코드, iPhone의 패스워드와 백업들 탈취 가능해

New MacOS Malware linked to Russian Hackers Can Steal Passwords & iPhone Backups


최근 보안 연구원들이 지난 2016년 미국 대통령 선거 관련 해킹 스캔들과 관련이 있는 것으로 알려진 러시안 사이버 스파잉 그룹인 APT 28이 개발한 새로운 Mac용 악성코드를 발견하였습니다. 


기존에 윈도우, iOS, 안드로이드, 리눅스 기기를 타겟으로 하던 X-Agent 스파이웨어의 새로운 변종은 Mac OS 시스템을 공격대상으로 합니다. 


이 악성코드는 웹 브라우저의 암호를 훔치고, 화면을 캡쳐하고, 시스템 구성을 탐지하고, 파일을 실행하며 컴퓨터에 저장 된 iPhone의 백업들을 추출합니다. 


APT28(Fancy Bear, Sofacy, Sednit, Pawn Storm이라고도 알려짐) (참고)이라는 러시아 해킹 그룹과 관련이 있는 이 X-Agent 악성코드는 짧아도 2007년부터 활동해 왔으며, 러시아 정부와 관련이 있는 것으로 알려져있습니다.


Bitdefender는 블로그를 통해 “우리가 과거에 분석한 APT28 관련 샘플들인 윈도우, 리눅스용 Sofacy/APT28/Sednit Xagent 컴포넌트와 현재 조사 중인 Mac OS 바이너리 사이에서 많은 유사점들을 발견했다.” “FileSystem, KeyLogger, RemoteShell과 같은 유사한 모듈과 HttpChanel이라는 유사한 네트워크 모듈이 있다.”고 밝혔습니다.


다른 플랫폼들을 위한 변종들과 마찬가지로, X-Agent 스파이웨어의 Mac 버전도 공격의 목적에 따라 커스터마이징이 가능한 고급 사이버 스파잉 기능들을 갖춘 백도어의 역할을 합니다. 


<이미지 출처 : http://thehackernews.com/2017/02/xagent-malware-apt28.html>


게다가, X-Agent는 타겟 컴퓨터에 설치 된 MacKeeper 소프트웨어의 취약점을 악용하며, 악성코드 드롭퍼인 Komplex를 통해 설치 되고 있습니다. Komplex는 APT28이 기기를 감염시키기 위해 사용하는 1단계 트로이목마인 셈입니다. 이는 이번에 새로발견된 Mac 버전의 X-Agent를 동일한 러시아 해킹 그룹이 만들었음을 의미합니다. 


X-Agent가 성공적으로 설치되면, 디버거가 있는지 확인한 후 만약 디버거가 있다면 실행을 막기 위해 자기자신을 종료합니다. 하지만 만약 디버거가 없다면 이 백도어는 C&C 서버와의 통신을 위해 인터넷에 연결될 때까지 기다립니다. 


보안 연구원은 “통신이 설정 되면, 이 페이로드는 모듈을 시작한다. 이전에 진행한 분석 결과 C&C 대부분은 Apple 도메인으로 위장하는 것으로 나타났다.” “일단 C&C에 연결 되면, 이 페이로드는 HelloMessage를 보낸 후 무한 루프에서 실행 되는 두 개의 통신 쓰레드들을 생성한다. 전자는 POST 요청을 사용하여 C&C에 정보를 보내고, 후자는 명령을 위한 GET 요청을 모니터링한다.”고 밝혔습니다.


한편, 해당 악성코드에 대한 연구는 계속 진행중입니다. 







참고 :

http://thehackernews.com/2017/02/xagent-malware-apt28.html

https://labs.bitdefender.com/2017/02/new-xagent-mac-malware-linked-with-the-apt28/



관련글 더보기

댓글 영역