새로 발견된 OS X 악성코드는 해킹 팀의 귀환을 암시합니다

해킹 팀이 새로운 Mac OS X 악성코드로 돌아올 수 있습니다

최근 발견된 새로운 OS X 악성코드 샘플은 정부에 감시 소프트웨어를 판매하는 논란의 여지가 있는 이탈리아 회사인 해킹 팀에서 나왔을 가능성이 있음을 시사합니다. 이 악성코드 판매자는 데이터가 공개적으로 유출된 재앙적인 사이버 공격 이후 시장에 복귀하고 있습니다. 이 공격에서는 모든 소프트웨어의 소스 코드가 포함된 민감한 데이터가 유출되었습니다.

보안 연구자들에 따르면, 최근 발견된 OS X 악성코드는 해킹 팀의 오래된 Mac 악성코드의 새로운 버전일 가능성이 높습니다. 그들에 따르면, 이 샘플은 주로 오래된 해킹 팀 악성코드와 동일한 코드로 구성되어 있지만, 탐지를 피하는 데 도움이 되는 새로운 구성 요소가 포함되어 있습니다.

연구자들은 또한 이 악성코드가 소프트웨어 회사의 원격 코드 시스템(RCS) 침해 플랫폼의 복사본을 설치한다고 언급하며, 악명 높은 논란의 여지가 있는 이탈리아 회사가 돌아왔다는 믿음을 갖게 됩니다.

문제의 악성코드는 컴퓨터에 다양한 프로그램을 설치합니다. 이번 악성코드는 “드로퍼”로, 다른 소프트웨어를 컴퓨터에 심는 데 사용되며 해킹 팀의 RCS를 설치하는 것으로 보입니다. “드로퍼는 이전 해킹 팀 RCS 샘플과 거의 동일한 기술을 사용하고 있으며, 그 코드도 거의 동일합니다.”라고 보안 연구원 페드로 빌라카가 썼습니다.

해킹 팀은 지난 7월 네트워크에서 대규모 침해를 겪었으며, 이로 인해 정부와의 관계, 이메일, 소스 코드 및 익스플로잇과 같은 민감한 정보를 포함한 거의 400GB의 데이터가 온라인에 공개되었습니다. 이후 이 그룹은 신비롭게도 조용했습니다. “이것이 오래된 샘플이거나 해킹 팀이 여전히 해킹 이전의 동일한 코드 기반을 사용하고 있는 것입니다.”라고 빌라카가 썼습니다. 이 그룹은 과거에 인권 기록이 좋지 않은 정부에 소프트웨어를 판매한 혐의로 프라이버시 및 인권 단체들로부터 비난을 받았습니다.

이번 달 초, “Morcut”이라는 이름의 새로운 OS X 기반 트로이안 샘플이 구글 소유의 VirusTotal에 업로드되었으며, 당시에는 인기 있는 안티바이러스 프로그램이 이를 탐지할 수 없었습니다. 현재까지 AVG, Eset-Nod 32, F-Secure, BitDefender 및 TrendMicro를 포함한 15개의 안티바이러스 프로그램이 이를 탐지할 수 있었습니다.

Synack 보안 회사의 패트릭 워들은 설치 프로그램이 작년 10월 또는 11월에 마지막으로 업데이트되었다고 믿고 있습니다. 그는 이 악성코드 샘플이 오래된 해킹 팀 악성코드와 대부분 동일한 코드를 활용한다고 덧붙였습니다.

“저는 이 드로퍼에서 몇 가지 고유한 코드를 발견했습니다. 이 코드는 최신 OS X 버전을 확인하며 유출된 소스 코드에는 존재하지 않습니다.”라고 빌라카가 썼습니다. “누군가 해킹 팀 코드를 유지 관리하고 업데이트하고 있는 것인지 (도대체 누가 그런 일을 하겠습니까!?!?!) 아니면 이것이 실제로 해킹 팀이 직접 컴파일한 정품 샘플인지 불확실합니다. 악성코드 소스 코드의 재사용 및 재목적화는 발생하지만 (예: Zeus) 제 직감과 지표는 그런 방향을 가리키지 않는 것 같습니다.”

이 악성코드가 시스템에 어떻게 설치되는지는 불확실합니다. 그러나 워들은 사용자의 Mac이 감염되었는지 확인하는 방법을 알아냈습니다.

다음은 영향을 받았는지 확인하는 방법입니다:

• 감염되었는지 확인하려면 ~/Library/Preferences/8pHbqThW/ 디렉토리에 드롭되는 Bs-V7qIU.cYL 또는 _9g4cBUb.psr를 찾아보세요.
• 이러한 코드 중 하나라도 발견되면 해당 디렉토리를 전체 삭제하고 ~/Library/LaunchAgents/com.apple.FinderExtAvt.plist 파일을 제거하세요.