macOS 악성코드 캠페인, 새로운 전달 기술 선보여

보안 연구원들이 인기 소프트웨어 제품의 크랙 ​​복사본을 사용하여 macOS 사용자에게 백도어를 배포하는 새로운 사이버 공격 캠페인에 대해 경고했습니다.

이 캠페인이 이번 달 초에 보고된 것과 같은 유사한 전술을 사용한 다른 수많은 캠페인과 다른 점은 무엇입니까? 중국 웹사이트 관련 — 엄청난 규모와 새로운 다단계 페이로드 전달 기술입니다. 또한 위협 행위자가 비즈니스 사용자가 관심을 가질 만한 타이틀이 포함된 크랙된 macOS 앱을 사용한다는 점도 주목할 만합니다. 따라서 사용자가 다운로드하는 항목을 제한하지 않는 조직도 위험에 처할 수 있습니다.

카스퍼스키가 처음으로 발견하고 보고하다 SentinelOne의 악성 활동에 대한 후속 분석에서 악성 코드는 다음과 같은 것으로 나타났습니다.수많은 macOS 앱을 통해 넘쳐나는 실행” 보안 공급업체에 따르면.

SentinelOne의 위협 연구원인 Phil Stokes는 “우리 데이터는 VirusTotal 전반에 나타난 고유 샘플의 수와 빈도를 기반으로 합니다.”라고 말합니다. "1월에 이 악성 코드가 처음 발견된 이후, 우리는 같은 기간 동안 [추적]한 다른 macOS 악성 코드보다 더 많은 고유한 샘플을 발견했습니다."

SentinelOne이 관찰한 Activator 백도어 샘플 수는 대규모 제휴 네트워크에서 지원하는 macOS 애드웨어 및 번들웨어 로더(Adload 및 Pirrit 등)의 양보다 더 많다고 Stokes는 말합니다. "감염된 장치와 상관관계를 나타내는 데이터는 없지만 VT에 대한 고유한 업로드 비율과 미끼로 사용되는 다양한 애플리케이션을 보면 실제 감염이 상당할 것임을 시사합니다."

macOS 봇넷을 구축하시나요?

활동 규모에 대한 한 가지 잠재적인 설명은 위협 행위자가 macOS 봇넷을 조립하려고 시도하고 있다는 것입니다. 그러나 이는 현재로서는 가설일 뿐이라고 Stokes는 말합니다.

Activator 캠페인의 배후에 있는 위협 행위자는 악성 코드를 배포하기 위해 최대 70개의 고유한 크랙이 있는 macOS 애플리케이션 또는 복사 방지 기능이 제거된 "무료" 앱을 사용하고 있습니다. 크랙이 발생한 앱 중 상당수는 직장 환경에서 개인이 관심을 가질 수 있는 비즈니스 중심의 제목을 가지고 있습니다. 샘플링: Snag It, Nisus Writer Express, 엔지니어링, 건축, 자동차 디자인 및 기타 사용 사례를 위한 표면 모델링 도구인 Rhino-8.

Stokes는 “macOS.Bkdr.Activator에서 미끼로 사용되는 작업 목적에 유용한 도구가 많이 있습니다.”라고 말합니다. “사용자가 다운로드할 수 있는 소프트웨어를 제한하지 않는 고용주는 사용자가 백도어에 감염된 앱을 다운로드할 경우 위험에 처할 수 있습니다.”

크랙이 발생한 앱을 통해 맬웨어를 배포하려는 위협 행위자는 일반적으로 앱 자체 내에 악성 코드와 백도어를 삽입합니다. Activator의 경우 공격자는 백도어를 전달하기 위해 다소 다른 전략을 사용했습니다.  

다른 배송 방법

많은 macOS 맬웨어 위협과 달리 Activator는 실제로 크랙이 발생한 소프트웨어 자체를 감염시키지 않는다고 Stokes는 말합니다. 대신 사용자는 다운로드하려는 크랙된 앱의 사용할 수 없는 버전과 두 개의 악성 실행 파일이 포함된 "Activator" 앱을 받게 됩니다. 사용자는 두 앱을 모두 응용 프로그램 폴더에 복사하고 Activator 앱을 실행하라는 지시를 받습니다.

그런 다음 앱은 사용자에게 관리자 비밀번호를 묻는 메시지를 표시하고 이를 사용하여 macOS의 Gatekeeper 설정을 비활성화하여 이제 Apple 공식 앱 스토어 외부의 애플리케이션이 기기에서 실행될 수 있도록 합니다. 그런 다음 악성 코드는 궁극적으로 시스템 알림 설정을 끄고 장치에 Launch Agent를 설치하는 일련의 악의적인 작업을 시작합니다. Activator 백도어 자체는 다른 악성 코드에 대한 1단계 설치 프로그램이자 다운로더입니다.

다단계 전달 프로세스는 "사용자에게 크랙된 소프트웨어를 제공하지만 설치 프로세스 중에 피해자에게 백도어를 제공합니다"라고 Stokes는 말합니다. “이는 사용자가 나중에 크랙된 소프트웨어를 제거하기로 결정하더라도 감염은 제거되지 않는다는 것을 의미합니다.”

Kaspersky의 악성 코드 분석가인 Sergey Puzan은 Activator 캠페인의 주목할만한 또 다른 측면을 지적합니다. Puzan은 “이 캠페인은 디스크에 전혀 나타나지 않고 로더 스크립트에서 직접 실행되는 Python 백도어를 사용합니다.”라고 말합니다. "pyinstaller와 같은 '컴파일러' 없이 Python 스크립트를 사용하는 것은 공격자가 일부 공격 단계에서 Python 인터프리터를 휴대해야 하거나 피해자가 호환되는 Python 버전이 설치되어 있는지 확인해야 하기 때문에 좀 더 까다롭습니다."

Puzan은 또한 이 캠페인의 배후에 있는 위협 행위자의 잠재적인 목표 중 하나가 macOS 봇넷을 구축하는 것이라고 믿습니다. 그러나 Activator 캠페인에 대한 Kaspersky의 보고서 이후 회사는 추가 활동을 관찰하지 못했다고 덧붙였습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique