2019-12-07 15:05 (토)
미 대선에 개입한 러시아 그룹 ‘APT28’, 신규 Mac 멀웨어도 사용
상태바
미 대선에 개입한 러시아 그룹 ‘APT28’, 신규 Mac 멀웨어도 사용
  • hsk 기자
  • 승인 2017.02.17 15:24
이 기사를 공유합니다

보안 연구원들, 맥을 타깃으로 하는 정교한 멀웨어 패키지 발견

wh-1.jpg
지난 2016년 대통령 선거에 개입한 것으로 알려진 러시아 해킹그룹 APT28은 윈도우, iOS, 안드로이드, 그리고 리눅스 기기들을 대상으로 하는 침투 테스트에 첨단 도구들을 사용하는 것으로 잘 알려져 있다. 보안 연구원들은 이와 비슷한 맥(Mac)을 타깃으로 하는 정교한 멀웨어 패키지를 발견했다.

안티바이러스 업체 빗디펜더(Bitdefender)의 보안 연구원들은 화요일 블로그 포스트를 통해 Mac 버전 Xagent가 다른 플랫폼들과 마찬가지로 침입을 목적으로 하는 모듈형 백도어라고 공개했다. 멀웨어 기능에는 Mac에 저장된 암호 기록, 화면 사진 캡쳐, iOS 백업 데이터 훔치기 등이 있다. 이 발견은 Sofacy, Sednit, Fancy Bear, Pawn Storm라고도 불리는 APT28가 가진 상당 수의 툴을 기반으로 한다.

CrowdStrike 연구원들에 따르면 APT28은 최소 2007년부터 운영되어 왔고, 러시아 정부와 밀접하게 연관되어 있다. Bitdefender가 작년에 발표한 분석에 따르면 APT28 멤버들은 러시아어를 사용했고 러시아 업무 시간동안 일했으며, 우크라이나, 스페인, 러시아, 루마니아, 미국, 캐나다에 있는 타깃들을 추적했다.

Bitdefender 연구원은 화요일 보고서에서 “우리가 과거에 분석한, APT28 그룹과 관련이 있다고 알려진 샘플들은 윈도우/리눅스의 Sofacy/APT28/Sednit Xagent와 현재 조사 대상인 Mac OS 바이너리 사이에 많은 유사점을 보이고 있다. 한때 FileSystem, KeyLogger, RemoteShell과 유사한 모듈과 HttpChanel라고 불리는 유사한 네트워크 모듈이 있었다”고 언급했다.

또 다른 유사점은 파일 경로이다. Sofacy가 타깃을 감염시키기 위해 사용한 첫번째 단계 트로이 목마인 Komplex를 만든 개발자가 작성한 Xagent 바이너리의 파일 경로와 유사하다. 이는 지난 9월 Palo Alto Networks의 연구원들에 의해 발견되었고, Bitdefender 연구원들은 Xagent의 Mac 버전이 Komplex에 의해 삽입되었다고 의심하고 있다.

Bitdefender 연구원은 화요일에 공개한 분석 리포트에서 다음과 같이 밝혔다. “일단 멀웨어가 성공적으로 설치되면, 백도어는 디버거가 프로세스에 연결되어 있는지를 체크한다. 만약 하나를 탐지하면 실행을 막기 위해 종료되고, 그렇지 않으면 C&C 서버와 연결을 시작하기 전에 인터넷 연결을 기다린다. 통신이 설정되면 페이로드가 모듈을 실행한다. 우리의 이전 분석을 보면, 대부분의 C&C URL들이 Apple 도메인으로 가장하고 있다. 일단 C&C에 연결되면 페이로드는 HelloMessage를 보내고, 무한 루프에서 실행되는 두개의 통신 쓰레드를 생성한다. 어디에 Mac OS 스파이 모듈이 설치될까? 이 분석을 통해서는 하드웨어와 소프트웨어를 구성하기 위해 시스템을 조사, 실행 중인 프로세스와 추가적인 파일 리스트 획득, 데스크탑 스크린샷 수집, 브라우저 암호 수집이 가능한 모듈이 있음을 알 수 있다. 그러나 정보 수집 관점에서 가장 중요한 모듈은 Mac에 저장된 아이폰 백업을 추출하도록 하는 모듈이다.”

★정보보안 대표 미디어 데일리시큐!★