이전에 알려지지 않은 macOS 스파이웨어가 Apple 컴퓨터에서 문서, 키 입력, 화면 캡처 등을 추출하는 고도로 표적화된 캠페인에서 나타났습니다. 흥미롭게도, 페이로드 수용 및 명령 및 제어(C2) 통신을 위해 공용 클라우드 스토리지 서비스를 독점적으로 사용합니다. 이는 위협을 추적하고 분석하기 어렵게 만드는 특이한 설계 선택입니다.
이를 발견한 ESET의 연구원들이 CloudMensis라고 부르는 백도어는 Objective-C에서 개발되었습니다. 이번 주에 출시된 맬웨어에 대한 ESET의 분석에 따르면 초기 침해 후 캠페인 배후의 사이버 공격자는 알려진 취약점을 사용하여 코드 실행 및 권한 상승을 얻습니다. 그런 다음 클라우드 저장소 공급자로부터 실제 스파이웨어 페이로드를 검색하는 XNUMX단계 로더 구성 요소를 설치합니다. 회사가 분석한 샘플에서는 pCloud를 사용하여 XNUMX단계를 저장하고 전달했지만 멀웨어는 클라우드 저장소로 Dropbox와 Yandex도 지원합니다.
그런 다음 스파이 구성 요소는 파일, 이메일 첨부 파일, 메시지, 오디오 녹음 및 키 입력을 포함하여 손상된 Mac에서 대량의 민감한 데이터를 수집하도록 설정합니다. 연구원들은 추가 맬웨어를 다운로드하라는 지시문을 포함하여 모두 39개의 다른 명령을 지원한다고 말했습니다.
부정하게 얻은 모든 데이터는 스파이 에이전트에서 찾은 공개 키를 사용하여 암호화됩니다. ESET에 따르면 암호 해독을 위해 CloudMensis 운영자가 소유한 개인 키가 필요합니다.
클라우드의 스파이웨어
분석에 따르면 Mac 스파이웨어가 드물게 발견된다는 사실 외에 캠페인의 가장 주목할만한 측면은 분석에 따르면 클라우드 스토리지를 독점적으로 사용한다는 것입니다.
ESET의 수석 멀웨어 연구원인 Marc-Etienne M.Léveillé는 Dark Reading에 "CloudMensis 가해자는 Dropbox 또는 pCloud와 같은 클라우드 스토리지 제공업체에서 계정을 생성합니다. “CloudMensis 스파이웨어에는 이러한 계정에서 파일을 업로드 및 다운로드할 수 있는 인증 토큰이 포함되어 있습니다. 운영자는 봇 중 하나에 명령을 보내려고 할 때 파일을 클라우드 스토리지에 업로드합니다. CloudMensis 스파이 에이전트는 해당 파일을 가져와서 해독하고 명령을 실행합니다. 명령 결과는 암호화되어 운영자가 다운로드하고 해독할 수 있도록 클라우드 스토리지에 업로드됩니다.”
이 기술은 멀웨어 샘플에 도메인 이름이나 IP 주소가 없음을 의미합니다. 그는 "이러한 지표가 없으면 인프라를 추적하고 네트워크 수준에서 CloudMensis를 차단하기가 어렵습니다."라고 덧붙였습니다.
주목할만한 접근 방식이지만 이전에 다음과 같은 그룹에서 PC 세계에서 사용되었습니다. 처음 (Cloud Atlas라고도 함) 및 APT37 (일명 사신 또는 그룹 123). 그러나 M.Léveillé는 "Mac 악성코드에서 이를 본 것은 이번이 처음이라고 생각합니다."라고 말합니다.
귀인, 피해자학은 미스터리로 남아
지금까지 위협의 출처에 관해서는 상황이 흐릿합니다. 한 가지 분명한 사실은 가해자의 의도가 간첩 및 지적 재산권 절도라는 것입니다. 스파이는 전통적으로 APT(Advanced Persistent Threat)의 영역이기 때문에 잠재적으로 위협 유형에 대한 단서가 될 수 있습니다.
그러나 ESET이 공격에서 발견할 수 있었던 아티팩트는 알려진 작업과 관련이 없는 것으로 나타났습니다.
M.Léveillé는 "코드 유사성이나 인프라로 인해 이 캠페인을 알려진 그룹의 탓으로 돌릴 수 없었습니다."라고 말합니다.
또 다른 단서: 캠페인은 일반적으로 보다 정교한 행위자들의 특징인 긴밀한 목표를 가지고 있습니다.
M.Léveillé는 "CloudMensis에서 사용하는 클라우드 스토리지 계정의 메타데이터에 따르면 우리가 분석한 샘플이 51월 4일에서 22월 XNUMX일 사이에 XNUMX대의 Mac에서 실행된 것으로 나타났습니다. 유감스럽게도 "클라우드 저장소에서 파일이 삭제되기 때문에 피해자의 지리적 위치나 수직에 대한 정보가 없습니다."
그러나 캠페인의 APT와 같은 측면에 맞서 멀웨어 자체의 정교함 수준은 그다지 인상적이지 않다고 ESET은 지적했습니다.
"코드의 일반적인 품질과 난독화 부족은 작성자가 Mac 개발에 익숙하지 않을 수 있고 그렇게 발전되지 않았을 수 있음을 보여줍니다." 보고서.
M.Léveillé는 CloudMensis를 중간 수준의 고급 위협으로 특성화하고 다음과 같이 언급했습니다. NSO 그룹의 강력한 Pegasus 스파이웨어, CloudMensis는 코드에 제로 데이 익스플로잇을 구축하지 않습니다.
M.Léveillé는 "CloudMensis가 Apple의 보안 장벽을 우회하기 위해 공개되지 않은 취약점을 사용하는 것을 보지 못했습니다. “그러나 우리는 CloudMensis가 [보안 완화를 우회하기 위해] 최신 버전의 macOS를 실행하지 않는 Mac에서 알려진 취약점(XNUMX-day 또는 n-day라고도 함)을 사용한다는 것을 발견했습니다. 우리는 CloudMensis 스파이웨어가 피해자의 Mac에 어떻게 설치되어 있는지 알지 못하기 때문에 해당 목적을 위해 공개되지 않은 취약점을 사용하고 있을지 모르지만 추측만 할 수 있습니다. 따라서 CloudMensis는 평균 이상이지만 가장 정교하지도 않은 정교함의 중간 어딘가에 있습니다.”
CloudMensis 및 Spyware로부터 비즈니스를 보호하는 방법
ESET에 따르면 CloudMensis 위협의 희생자가 되지 않기 위해 취약점을 사용하여 macOS 완화를 해결한다는 것은 최신 Mac을 실행하는 것이 기업을 위한 첫 번째 방어선임을 의미합니다. 이 경우 초기 침해 벡터가 알려지지 않았지만 강력한 암호 및 피싱 인식 교육과 같은 나머지 모든 기본 사항을 구현하는 것도 좋은 방어책입니다.
연구원은 또한 켜기를 권장했습니다. Apple의 새로운 잠금 모드 기능.
분석에 따르면 "Apple은 최근 자사 제품 사용자를 대상으로 하는 스파이웨어의 존재를 인지하고 iOS, iPadOS 및 macOS에서 잠금 모드를 미리 보고 있습니다. 이 모드는 코드 실행을 획득하고 맬웨어를 배포하기 위해 자주 악용되는 기능을 비활성화합니다." "유동하지 않은 사용자 경험을 희생하면서 진입점을 비활성화하는 것은 공격 표면을 줄이는 합리적인 방법처럼 들립니다."
무엇보다도 M.Léveillé는 기업이 Mac과 관련하여 잘못된 보안 의식에 속지 않도록 주의합니다. Mac을 대상으로 하는 맬웨어는 전통적으로 Windows 또는 Linux 위협보다 덜 널리 퍼져 있지만, 그것은 지금 변하고 있다.
"회사에서 Mac을 사용하는 기업은 Windows 또는 기타 운영 체제를 실행하는 컴퓨터를 보호하는 것과 동일한 방식으로 Mac을 보호해야 합니다."라고 경고합니다. “매년 Mac 판매가 증가함에 따라 사용자는 재정적으로 동기가 부여된 범죄자의 흥미로운 표적이 되었습니다. 국가가 후원하는 위협 그룹은 또한 운영 체제에 관계없이 목표에 적응하고 임무를 수행하는 데 필요한 멀웨어를 개발할 수 있는 리소스를 보유하고 있습니다.”
