위협 행위자들이 새로운 XcodeSpy 맥 맬웨어를 사용해 애플의 Xcode 통합 개발 환경을 사용하는 소프트웨어 개발자를 표적으로 공격을 시도하고 있는 것으로 조사됐다.
센티넬원(SentinelOne) 연구원들은 EggShell로 추적되는 백도어의 맞춤형 변형을 제공하는 데 사용되는 새로운 XcodeSpy와 관련된 일련의 공격을 발견했다고 밝혔다.
EggShell을 사용하면 위협 행위자가 사용자를 감시하고 피해자의 카메라, 마이크 및 키보드에서 데이터를 캡처하고 파일을 업로드 및 다운로드 할 수 있다.
익명의 연구원이 iOS 개발자를 겨냥한 공격에 사용 된 트로이목마 화 된 Xcode 프로젝트를 발견했다고 밝혔다.
이 악성 프로젝트는 iOS 탭 바 애니메이션을 위한 고급 기능을 구현하는 깃허브에서 사용할 수 있는 합법적인 오픈소스 프로젝트의 오염 된 버전이다.
XcodeSpy 버전은 개발자의 빌드 대상이 시작될 때 난독 화 된 실행 스크립트를 실행하도록 미묘하게 변경되었다.
이 스크립트는 공격자의 C2에 연결해 개발 시스템에 EggShell 백도어의 맞춤형 변형을 드롭한다.
해당 멀웨어는 지속성을 위해 사용자 LaunchAgent를 설치하고 피해자의 마이크, 카메라 및 키보드의 정보를 기록 할 수 있다.
센티넬원 연구원은 또 XcodeSpy가 2020년 말 미국 조직에 대한 공격에 사용되었으며, 지난해 8월 5일과 10월 13일 바이러스토탈에 업로드 된 샘플을 기반으로 일본 개발자를 겨냥한 공격에도 사용되었다고 보고했다.
센티넬원은 악성 코드에 대한 세부 정보와 이러한 공격에 대해 알려진 IoC의 전체 목록을 제공했다.
시큐리티어페어스 보도에 따르면, 2015년 여러 사이버 보안 회사가 수백개의 합법적인 앱을 트로이목마로 악용하는데 사용된 XcodeGhost라는 악성 프로그램을 탐지했다.
보안연구원들은 공격자가 모바일 채팅 앱 위챗(WeChat)과 인터넷 포털 NetEase의 음악앱을 포함한 여러 앱을 감염시켰다고 밝힌 바 있다.
당시 애플 보안팀의 신속한 대응에도 불구하고 파이어아이는 앱스토어에서 4천개 이상의 감염된 앱을 탐지했다고 전했다.
공격자는 개발자가 가짜 버전의 애플 Xcode를 사용하도록 속여 악성 코드를 앱에 삽입했다.
▶데일리시큐 보안 웨비나 참가하기◀
-EDR 솔루션/엔드포인트 보안 웨비나 무료등록: 클릭
-2021년 3월 29일(월) 오후 2시~3시 개최
★정보보안 대표 미디어 데일리시큐!★
