
최근 기업 시장에서 macOS 기기의 사용이 증대 함에 따라 macOS 기기에 대한 다양한 공격이 증가하고 있으며 대표적인 북한의 APT의 공격으로 알려진 macOS 멀웨어 공격 형태에 새로운 형식의 공격이 새로 발견되고 있는 상황입니다.
"RustBucket"이라는 이름의 이 악성 프로그램은 3단계 공격으로 배포되어 Rust로 작성된 트로이 목마가 실행됩니다. 이 공격은 시스템에 대한 기본 정보 수집을 포함한 많은 시스템 정찰 명령을 수행합니다, Jamf Threat Labs의 연구원들은 보안 분석에서 현재 관련 macOS 멀웨어를 VM에서 테스트하고 있으며 명령 및 제어(C2) 서버와 통신하고 있다고 밝혔습니다.
"우리는 얼마나 많은 희생자가 존재하는지 확신할 수 없습니다,"라고 Jamf의 MacOS 탐지 전문가인 Jaron Bradley가 말했습니다. "우리는 공격자들이 매우 적극적이지만 여전히 그들 뒤에 어떤 조직이 관여해 있는지에 대해 더욱 더 확인하는 것을 목표로 두고 있습니다."라고 이야기를 하였습니다.
의심스러운 명령이 포함된 AppleScript 응용 프로그램에 대한 헌팅 루틴을 수행하는 동안 연구원들은 Internal PDF Viewer.app이라는 서명되지 않은 응용 프로그램에서 공격의 첫 번째 단계와 관련된 드롭다운 프로그램을 처음 발견했습니다. 브래들리는 공격의 배후에 있는 잠재적 행위자가 LinkedIn에서 소셜 엔지니어링을 사용하여 피해자와 접촉한 전력이 있다고 말했지만 애플리케이션이 처음 어떻게 공유되는지는 알려지지 않았습니다. 특히 응용프로그램은 서명되지 않았기 때문에 게이트키퍼에 의해 차단될 가능성이 높으며 사용자가 수동으로 게이트키퍼를 재정의해야 실행할 수 있습니다.
Dropper는 다양한 명령을 실행하여 두 번째 단계 응용 프로그램(Internal PDF Viewer.app라고도 함)을 다운로드합니다.
연구원들은 "멀웨어를 여러 구성 요소 또는 단계로 분할함으로써 멀웨어 작성자는 특히 C2가 오프라인이 되는 경우 분석을 더 어렵게 만듭니다."라고 말했습니다. "이것은 악성 프로그램 작성자들이 분석을 방해하기 위해 사용하는 영리하지만 일반적인 기술입니다."하고 말했습니다.
이 애플리케이션이 실행되면 대상자에게 서로 다른 기술 스타트업에 투자하고자 하는 벤처 캐피털 회사를 설명하는 9페이지 분량의 문서를 제공합니다. 여기서 공격자들은 합법적인 작은 벤처 캐피털 회사의 웹사이트를 모방한 것으로 보인다고 연구원들은 말했습니다. 한편, 백그라운드에서 악성 프로그램은 C2 서버에 POST 요청을 수행하며, 연구자들은 C2 서버가 3단계 페이로드를 검색하고 실행한다고 믿고 있습니다. 최종 멀웨어 코드는 공격자와의 지속적인 연결을 유지하며, 브래들리는 연구원들이 여전히 정찰 이상의 기능을 조사하고 있다고 말했습니다.
연구원들은 공격에서 "[공격자가 사용한] PDF 뷰어 기술은 영리한 기술입니다."라고 평가하고 있으며 "이 시점에서 분석을 수행하려면 2단계 악성코드가 필요할 뿐만 아니라 애플리케이션 내에서 악성코드를 실행하기 위해 키로 작동하는 올바른 PDF 파일이 필요합니다."라고 의견을 제시하고 있습니다.
연구원들은 분석에서 Lazarus APT와 관련이 있는 Blue Noroff라는 알려진 그룹에 기인한 이전 분석과의 연관성을 발견했습니다. 예를 들어, 1단계 Dropper는 BlueNoroff와 중복되는 활동에 이전에 사용된 도메인을 사용하고 PDF 문서에 사용된 소셜 엔지니어링 유인은 VC 회사와 은행을 사칭한 이전 BlueNoroff 가짜 도메인과 유사합니다.

연구원들은 기업에서 사용하는 macOS 기기의 시장 점유율이 증가함에 따라 더 많은 저명한 위협 요인들이 이 플랫폼을 목표로 멀웨어를 미세 조정하고 있다고 말했습니다. 예를 들어, 지난 주, macOS를 대상으로 하는 새로운 LockBit 랜섬웨어 변종이 발견되었습니다.
연구원들은 "여기에 사용된 악성 프로그램은 macOS가 시장 점유율이 증가함에 따라 공격자들이 Apple 에코시스템을 포함하도록 업데이트하지 않으면 많은 피해자들이 피해자가 될 수 있음을 보여줍니다."라고 말합니다. "BlueNoroff와 강력한 관계를 맺고 있는 Lazarus 그룹은 macOS를 공격한 오랜 역사를 가지고 있으며 더 많은 APT 그룹이 동일한 작업을 시작할 것으로 보입니다."라고 Jaron Bradley는 의견을 주고 있습니다.
예전과 다르게 macOS의 개인 및 기업 시장에서의 성장과 함께 공격자들로부터의 피해 사례도 또한 증가하고 있으며, 우리는 사용하는 macOS 기기에 대한 보안의 설정 및 신뢰되는 출저 외에서 어플리케이션을 다운 받아 설치하여 혹시 모를 보안 위협의 상황이 발생하지 않도록 주의를 기울여야 할 것입니다.