맥 OS X 시스템을 위해 적응된 윈도우 악성코드가 발견됨

연구자들은 윈도우에서 사용되던 5년 된 백도어 프로그램의 새로운 코드를 분석하고 있으며, 이 코드가 맥 OS X 시스템을 손상시키기 위해 설계된 스파이웨어 프로그램에 통합되었다고 밝혔습니다. 연구자들에 의해 XSLCmd라는 이름이 붙여진 이 OS X 악성코드는 8월 10일 VirusTotal에서 확인되었습니다. 다른 안티바이러스 프로그램들은 아직 이를 탐지하는 데 성공하지 못했으며, 이는 저자들이 훨씬 더 복잡한 코딩을 사용하고 있음을 확인해줍니다.

선도적인 보안 연구 회사인 FireEye는 이 악성코드에 대한 블로그 게시물에서 악성코드 코드가 PowerPC 및 64/86비트 CPU 아키텍처와 호환된다고 밝혔습니다. 설치 루틴 외에도 백도어가 존재하며, 부모 프로세스가 실행되자마자 실행됩니다.

“백도어 코드는 지난 몇 년 동안 표적 공격에 광범위하게 사용된 윈도우 백도어에서 OS X로 포팅되었습니다. 이 과정에서 여러 번 업데이트되었습니다.”

백도어에 존재하는 기능에는 리버스 셸을 열고 파일을 보기 및 원격 위치로 전송하는 작업, 또는 자체 업데이트 루틴을 실행하고 다른 실행 파일을 설치하는 것이 포함됩니다. FireEye는 윈도우 버전과 비교할 때 OS X 버전이 키 입력 및 컴퓨터 화면을 기록하여 피해자를 모니터링할 수 있는 기능이 증가했다고 말합니다. 지금까지 탐지되지 않았다는 사실과 결합하여 매우 경험이 풍부한 악성코드 저자를 나타냅니다.

연구자들은 XSLCmd 백도어가 사이버 스파이 활동에 사용된다고 믿고 있습니다. 연구자들은 사이버 범죄자들을 GREF로 확인했습니다. 이 팀은 사이버 스파이 활동을 전문으로 하며 2009년부터 활동해왔습니다. 이들은 2011년부터 현재까지 미국 방위 산업 기반 및 전 세계의 전자 및 엔지니어링 회사를 해킹한 그룹 중 하나입니다. 이 그룹이 어떤 국가의 국가 행위자로 구성되어 있는지는 알려져 있지 않습니다.

애플 컴퓨터와 노트북의 인기가 상승함에 따라 이는 모회사에 새로운 골칫거리가 됩니다. 현재까지 맥 기기를 위한 악성코드는 드물었습니다. 윈도우 악성코드를 다른 운영 체제로 포팅하는 것은 복잡하거나 새로운 관행이 아닙니다. Mach-O 실행 파일 형태를 취한 백도어는 “$HOME/Library/LaunchAgents/clipboardd”에 복사되며, 피해자가 로그인하자마자 컴퓨터 재부팅 시 위협이 시작되도록 보장하는 파일을 폴더에 생성합니다.

설치 과정에서 악성코드는 운영 체제 버전을 확인하며, 10.8 (Mountain Lion) 이상의 버전은 고려되지 않는 것으로 보입니다. 이는 저자들이 이 OS X 버전을 실행하는 피해자를 목표로 삼았거나, 이 조각이 Mountain Lion을 위해 특별히 제작되었음을 나타낼 수 있습니다.

FireEye는 이 위협 뒤에 있는 사이버 범죄자/사이버 갱이 단순히 “고급”일 뿐만 아니라 “적응형”이라고 믿고 있습니다. 그들은 피해자들이 채택한 새로운 운영 체제와 도구 키트의 호환성을 달성하고 감염된 기기에서 지속성을 얻는 데 성공했습니다.

XSLCMD에 대한 전체 기사를 여기에서 읽을 수 있습니다.