애플 M1 칩을 표적으로 하는 첫 번째 악성 코드가 발견된 지 며칠 만에 연구원들은 인텔 x86_64 및 M1 프로세서로 동작하는 3만여 대의 맥에서 이전에 발견되지 않았던 또 다른 악성 소프트웨어를 발견했다.

사이버 보안 회사 레드 카나리는 멀웨어를 ‘실버 스페로우(Silver Sparrow)’라고 부르며 두 가지 버전의 멀웨어를 식별했다고 밝혔다.

버전1은 인텔 x86_64 용으로 컴파일되어 2020년 8월 31일에 바이러스 토탈에 업로드되었으며, 1월 22일에 업로드된 변종은 인텔 x86_64와 M1 ARM64 아키텍쳐와 호환된다.

미스터리는 x86_64 바이너리를 실행하면 "Hello, World!"라는 메시지가 표시되는 반면, M1 바이너리는 "You did it!" 문구를 읽는다는 것이다.

레드 카나리 토니 램버트는 "이 Mach-O 컴파일 바이너리는 그다지 많은 작업을 수행하지는 않는 것 같다. 그래서 우리는 이를 '방관자 바이너리'라고 부르고 있다."라고 말했다.

또 "악성코드에 의해 어떤 페이로드가 배포될지, 페이로드가 이미 전달되고 제거되었는지, 또는 공격자가 향후 어떤 배포 일정을 가지고 있을지에 대해서 확실하게 알 수 없다."고 덧붙였다.

멀웨어바이트 데이터에 따르면 2월 17일 자로 29,139개의 macOS 엔드 포인트들이 미국, 영국, 캐나다, 프랑스 및 독일을 포함해 153개국에 위치해 있다.

표적 macOS의 플랫폼 차이에도 불구하고 두 샘플은 macOS 인스톨러 자바스크립트 API를 사용하여 대상의 파일 시스템에 기록되는 두 개의 셀 스크립트를 동적으로 생성하여 공격 명령을 실행하는 동일한 방식을 따른다.

"agent.sh"는 설치가 끝날 때 즉시 실행되어 AWS C2(명령 및 제어) 서버에 성공적으로 설치되었음을 알리는 반면, "verx.sh"는 1시간에 한 번 실행되어 추가 콘텐츠 다운로드 및 실행을 위해 C2 서버에 연결한다.

또한 악성 코드가 감염된 호스트로부터 자신의 존재를 완전히 지울 수 있는 기능을 제공한다는 사실은 캠페인과 관련된 행위자가 스텔스 기술에 의해 동기 부여 받았을 것이라는 것을 시사한다.

애플은 애플 개발자 ID의 Saotia Seay(버전 1) 및 Julie Willey(버전 2)로 서명된 바이너리를 취소해 추가 설치를 방지했다.

실버 스페로우는 지난주에 발견된 GoSearch22라는 사파리 애드웨어 확장 프로그램에 이어 애플의 새로운 M1 칩에서 기본적으로 실행되는 코드를 포함하는 두 번째 악성코드다.

M1 칩과의 호환성, 상대적으로 높은 감염률 및 운영 성숙도는 이 악성코드가 잠재적으로 위협이 될 수 있다고 보안전문가들은 경고하고 있다.

---

◈2021 대한민국 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최

K-CTI 2021, 국내 최고 권위의 정보보안 인텔리전스 정보 공유의 장

-날짜: 2021년 3월 9일(화) / 온라인 개최

-참석대상: 공공·기업 보안실무자 및 보안 분야 관계자

-교육이수: 보안교육 7시간 이수 가능(CISO/CPO/CISSP 등도 가능)

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★