2024-03-29 02:55 (금)
맥과 윈도우 동시겨냥 멀티 APT 공격 등장!
상태바
맥과 윈도우 동시겨냥 멀티 APT 공격 등장!
  • 길민권
  • 승인 2012.07.04 06:55
이 기사를 공유합니다

애플 맥북 이용률 증가로 맥OS 대상 공격도 증가
최근 애플사의 Mac OS와 마이크로소프트사의 Windows OS 운영체제 사용자를 멀티로 겨냥한 지능형지속위협(APT) 공격 정황이 포착됐다.
 
잉카인터넷 대응팀 관계자는 “그동안 보고되었던 표적공격의 경우 대부분 윈도우용 악성파일이 주를 이루었지만 최근 맥용 악성파일이 APT 공격에 실제로 사용된 매우 이례적인 경우가 발견되었다”며 “이는 애플사의 맥북(에어/프로) 이용률이 증가하고 있다는 점과 감염 대상자가 맥 운영체제를 사용하고 있는 점을 공격자가 반영한 것으로 예측된다”고 밝혔다.
 
또 “표적형 공격자들도 맥 사용자가 많아지고 있다는 점을 적극 고려해 맥용 악성파일을 별도로 개발하고 있음을 증명하고 있다”며 “새로운 맥용 악성파일이 은밀한 표적공격에 악용되고 있다는 점에서 해당 운영체제 이용자들도 이 부분을 각별히 유념하고 좀더 주의 깊게 컴퓨터 보안에 신경을 써야 할 것”이라고 말했다.   
 
특히 이메일 첨부파일 등으로 맥용 악성파일이 유입될 수 있으므로 유사한 방식을 목격하게 될 경우 신뢰할 수 있는 파일인지 꼼꼼하게 살펴보고 실행하는 습관이 필요하다.
 
지난 6월 말경에 발견된 공격 형식으로, 중국 정부가 공식적으로 인정한 56개 민족 중에 하나인 위구르족(Uyghur People)과 관련된 내용으로 위장한 이메일로 공격이 진행되었다.
 
수신자의 이메일 사용자는 캐나다 도메인의 야후 웹메일을 쓰고 있지만, Uyghur 유니버셜 웹사이트에서 Uyghurmen으로 활동하고 있는 것으로 보아 위구르인으로 보여지며, 이메일도 위구르어가 사용되었다.
 
이메일은 유사한 내용으로 2가지 형태로 제작되어 공격에 사용되었고 첨부된 파일명은 "matiriyal.zip"으로 동일하지만 한 개는 맥용 악성파일이고 또 하나는 윈도우용 악성파일이다.
 
메일 각각의 첨부파일에는 동일한 JPG 그림파일이 하나씩 포함되어 있었다.

 
위 사진에 있는 여성은 레비야 카디르(Rebiya Kadeer)로서 재미 위구르 협회장이며 수십년간 위구르인의 인권을 위해 싸워 온 공로를 인정받아 국제인권단체인 휴먼라이츠워치에 의해 2004년 올해의 인권운동가로 선정되었다. 또 2006년 노벨평화상 후보로 추천 받기도했다.  
 
맥용 악성파일은 "matiriyal.appContentsMacOSiCnat"이라는 파일로 존재하며 백도어(Backdoor) 기능을 수행하게 된다.  또한 내부에는 "Recieve", "os verison",  "memery" 등 오타 문자열이 다수 포함되어 있어 악성파일 제작자의 자국어가 영어가 아님을 추정해 볼 수 있다. 
 
악성파일은 중국의 특정 C&C서버로 접속을 시도하며 공격자에 의해서 다양한 추가 명령을 수행할 수 있다.
 
윈도우용 악성파일인 "matiriyal.exe" 파일은 아이콘을 MS Word처럼 위장하고 있으며 RAR SFX 로 실행압축되어 있다. 내부에는 "1.exe" 파일이 포함되어 있다.
 
"1.exe" 파일은 임시폴더(Temp) 경로에 "kbdmgr.exe" 파일을 생성하고 실행하며 [시작프로그램] 폴더를 숨김속성으로 변경하고 "kbdmgr.lnk" 바로가기 파일을 생성하고 연결하여 재부팅시 자동으로 악성파일이 실행되도록 만든다.
 
악성파일은 맥용과 윈도우용이 유사한 기능을 수행하도록 제작되어 있고 윈도우용 악성파일 내부에는 DDoS라는 문자열 등도 포함되어 있다.
 
잉카인터넷 대응팀 관계자는 “맥용 악성파일이 APT 공격 등에 사용되고 있다는 점을 간과하지 말고 유사한 형태의 위협을 예방할 수 있도록 해야 한다”며 “무엇보다 사용자 스스로 이와 유사한 보안위협에 노출되지 않도록 각별한 주의와 관심을 가지는 것이 중요하다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★