맥 사용자가 시장에서 가장 안전한 OS 중 하나를 사용하고 있다고 생각할 수 있는 시대는 끝났다. 맥 바이러스를 퍼트리는 멀웨어가 증가하고 있으며 점점 더 위험해지고 있다. 애플 보안 전문 연구원인 패트릭 워들(Patrick Wardle)은 최근 새로운 맥OS 멀웨어 표본이 2022년부터 2023년까지 약 100% 증가했으며 랜섬웨어, 트로이 목마, 백도어가 가장 큰 위협이 될 것이라고 결론지었다.
이러한 추세에 따라 비트디펜더는 최근 블랙바스타 및 알파브이/블랙캣 범죄 그룹과 유사한 새로운 백도어를 발견했다. 새로운 멀웨어인 Trojan.MAC.RustDoor는 그림자 속에 숨어 지난 3개월 동안 지속적인 공격을 실행하고 있다고 비트디펜더는 말한다.
비트디펜더의 위협 연구 및 보고 책임자인 보그단 보테자투는 테크오피디아와의 인터뷰에서 애플 사용자가 사이버 범죄 조직의 표적이 되는 이유와 공격자들이 어떻게 맥OS 시스템을 침해하는 데 성공하고 있는지에 대해 설명했다.
“안타깝게도 맥은 기업 내 보급률이 높아지면서 중요한 표적이 되었다. 일부 사이버 범죄 그룹은 이제 윈도우 환경에서의 치열한 경쟁으로 인해 다른 생태계로 이동하기 위해 맥 공간에서 틈새 시장을 개척하려고 시도하고 있다.”
핵심 내용
- 맥OS의 멀웨어는 애드웨어에서 더 위험한 트로이목마, 백도어 및 도둑으로 진화하고 있다.
- 이제 라자루스 그룹과 같은 사이버 범죄자들과 블랙바스타, 블랙캣과 같은 악명 높은 랜섬웨어 운영자들이 맥OS 시스템을 노리는 새로운 공격의 물결에 가담하고 있다.
- 범죄자들은 인기 있는 앱과 서비스, 소프트웨어 출시 및 OS 업데이트, 제로데이 취약점, 맥 사용자의 보안 인식 격차를 사칭하여 공격에 성공하고 애플의 영역에 침입하는 데 활용하고 있다.
범죄 조직이 맥 사용자를 노리는 이유는 무엇인가?
역사적으로 대부분의 멀웨어는 대부분 윈도우 OS를 공격하도록 설계 및 코딩되었다. 그 이유는 아주 간단하다. Statista의 보고서에 따르면 윈도우 OS는 2013년 이후 전 세계 시장 점유율의 70% 이상을 차지하며 세계에서 가장 인기 있는 시스템으로 자리 잡았다. 그러나 같은 기간 동안 특히 기업에서 맥OS 채택이 증가하기 시작했는데, 설문조사에 따르면 기업용 디바이스의 22.4%가 맥OS인 것으로 나타났다.
그 외에도 다른 요인도 작용하고 있다. 애플 제품에는 신비주의가 있다. 예를 들어, 비즈니스 라이브의 조사에 따르면 조사 대상자의 절반 이상이 애플 기기가 “더 비싸지만 그만한 가치가 있다”고 생각하는 것으로 나타났다. 이와 같은 연구는 맥 사용자들이 높은 가치를 지닌 사람이라는 사회적 인식을 불러일으키며 사이버 범죄자들의 관심을 끌고 있다.
맥OS의 최신 위협
이러한 조직 중 하나는 북한과 연계된 라자루스 그룹으로, 작년에 가상화폐 및 블록체인 분야에서 일하는 맥OS 사용자를 대상으로 캔디콘이라는 멀웨어를 출시했다. 그 이후로 여러 가지 새로운 맥 멀웨어가 발견되었다.
이제 비트디펜더는 블랙바스타와 블랙캣이 맥 사이버 공격 시장에도 진출하고 있음을 강력하게 시사하는 증거를 제시했다. 비트디펜더의 보테자투는 테크오피디아에 맥OS 멀웨어가 확산되는 이유를 설명했다.
“지난 몇 년 동안 맥OS의 시장 점유율이 꾸준히 상승하면서 사이버 범죄 그룹에게 맥은 훨씬 더 매력적으로 다가왔다.
“잠재적으로 원치 않는 앱(PUA)이나 공격적인 애드웨어와 같은 ‘전통적인’ 맥OS 위협은 더 파괴적인 트로이 목마에 의해 그 수를 넘어섰다.”
새로운 맥 러스트 백도어
비트디펜더가 발견한 새로운 맥 백도어는 블랙캣이 수년간 사용해 온 언어인 러스트로 코딩되어 트로이 목마로 시스템에 침입한다. 이 캠페인의 배후에 있는 공격자들은 앱, 웹 또는 데스크톱 애플리케이션, 게임을 개발하는 데 사용되는 인기 소프트웨어인 비주얼 스튜디오용 맥 업데이트를 다운로드하도록 잠재적 피해자를 유인하는 가짜 웹사이트를 만들었다.
피해자가 악성 파일을 다운로드하여 설치하면, 설치 프로그램은 사용자가 자신의 시스템이 침해되어 손상되었다는 사실을 알지 못한 채 백도어를 생성한다.
이 새로운 멀웨어는 특정 확장명과 크기의 파일을 훔치도록 설계되었다. 문서 및 데스크톱 폴더와 메모를 살펴보고 추출하려는 파일을 복사한 다음 숨겨진 폴더에 숨기고 압축 파일을 ZIP 파일로 압축한 다음 공격자의 C2 서버로 전송한다.
인스톨러는 sysctl 명령과 다른 두 명령(pwd 및 hostname)의 출력으로 추출을 실행한 다음 제어 및 명령 서버의 Register 엔드포인트에 제출하고 피해자 ID를 할당 및 수신한다.
공격자는 피해자 ID를 사용하여 손상된 맥OS와 통신한 다음, 원격으로 컴퓨터를 제어하고, 시스템에 대한 정보를 얻고, 페이로드를 송수신하고, 정보를 교환할 수 있다.
사용자 오류 및 해킹 전술
공격자들은 또한 사용자가 맥 백신 소프트웨어가 필요하지 않거나 멀웨어에 면역이 되어 있다는 통념을 이용하고 있다.
새로운 맥 러스트 백도어 공격은 다른 맥 공격과 마찬가지로 맥 사용자가 악성 사이트를 방문하고 확인되지 않은 사이트의 URL, 다운 소프트웨어, 파일 또는 앱을 확인하지 않는 경우에만 성공할 수 있지만, 일단 발생하면 백그라운드에서 실행되는 신뢰할 수 있고 전문적인 안티 멀웨어와 같은 두 번째 보안 계층 없이도 자유롭게 작동할 수 있게 된다.
보안에 정통한 사용자도 속아서 감염된 파일을 다운로드하고 실행할 수 있다. 예를 들어, 맥 아모스 해커는 최근 Slack으로 위장하여 스스로 업데이트했으며, 최근의 트로이목마.MAC.RustDoor는 비주얼 스튜디오의 업데이트를 흉내낸다. 범죄자들은 계속해서 성과를 얻는 한 이 전술을 계속 사용할 것이다. 그리고 맥 사용자의 보안 인식이 이러한 결과에 영향을 미칠 수 있다.
새로운 백도어가 블랙캣과 연결되어 있다는 징후
비트디펜더의 디지털 포렌식 결과, Trojan.MAC.RustDoor는 문서화되지 않은 새로운 멀웨어 제품군으로 밝혀졌다. 그러나 이 보안 업체는 알려진 위협 행위자의 소행이라고 확신하지는 못하지만 몇 가지 요인으로 볼 때 블랙캣과 관련이 있다고 말한다.
우선, 앞서 언급했듯이 이 백도어는 블랙캣이 사용하는 프로그래밍 언어인 러스트로 코딩되어 있다. 또한 명령 및 제어 서버 4개 중 3개는 이전에 윈도우 클라이언트를 대상으로 한 랜섬웨어 캠페인과 관련이 있었다고 비트디펜더는 밝혔다.
러스트로 코딩된 멀웨어는 코딩 언어가 비교적 새롭고, 러스트 보안 도구가 다른 언어용 도구만큼 채택되지 않았기 때문에 은밀하고 매우 회피하기 쉽다.
인터프리터를 사용하는 파이썬과 달리 러스트는 머신 코드로 직접 컴파일되기 때문에 의도가 모호하다.
비트디펜더는 이미 여러 가지 버전의 새로운 백도어를 발견했다고 말한다.
보테자투는 테코피디아 비트디펜더의 최신 맥OS 위협 환경 보고서에서 다음과 같이 덧붙였다:
“위협 행위자들이 사회 공학 벡터와 스프레이 앤 프레이 기술을 사용함에 따라 애플은 적극적으로 악용되는 취약점을 지속적으로 패치해야 하는 상황에 처해 있다.”
가장 일반적인 형태의 맥 바이러스
이블퀘스트 “EvilQuest”
2020년 중반에 처음 발견된 이블퀘스트는 52.7%의 점유율을 차지하며 Mac을 대상으로 하는 가장 일반적인 트로이 목마로 남아 있다.
이 멀웨어는 피해자의 파일을 암호화하고 탈취하도록 설계된 랜섬웨어 구성 요소와 키 입력을 기록하고 개인 또는 금융 데이터를 훔치기 위한 키로거를 번들로 제공한다.
대부분의 바이러스 백신 공급업체가 이블퀘스트를 인식하고 차단하고 있지만, 이블퀘스트가 계속 많이 발견되는 것은 공격자들이 여전히 공격망에서 보호되지 않는 시스템을 잡기 위해 스프레이 앤 프레이 방식으로 이블퀘스트를 사용하고 있다는 것을 의미한다.
일반적인 트로이 목마 공격
탐지의 22%에는 동일하지는 않지만 특성이 유사하여 목록에 고유한 이름이 없는 일반 트로이 목마가 여러 개 포함되어 있다.
익스플로잇 트로이목마
8.2%의 탐지율로 3위를 차지한 익스플로잇 트로이목마는 맥OS의 알려진/미패치 결함을 활용하며 사용자 모르게 적시에 페이로드(추가 멀웨어 구성 요소)를 배포하도록 설계되었다.
익스플로잇 중심 트로이목마는 맥에서 백신을 실행하지 않거나 일반적인 경우처럼 애플의 보안 패치 설치를 미루는 사용자들에게 실질적인 위험을 초래한다.
플래시백
탐지율이 2.7%로 비교적 낮은 플래시백은 합법적인 앱 또는 설치 프로그램(업데이트)으로 위장하여 사용자가 직접 위협을 실행하도록 속이는 트로이목마의 일종이다.
플래시백은 10여 년 전에 등장하면서 맥용 멀웨어의 지속적인 개발의 시작을 알렸다.
보안 연구원들에 의해 처음 발견된 지 12년이 지난 지금도 여전히 유행하고 있다는 사실은 충분히 언급할 가치가 있다.
엠파이어
엠파이어는 부분적으로 사라진 위협이지만, 발생 후 몇 년이 지난 지금도 2.6%의 탐지율로 비트디펜더의 원격 분석에서 여전히 나타나고 있다. 키로거와 데이터 탈취기를 포함하여 빠르게 배포할 수 있는 익스플로잇 후 모듈이 있으며 네트워크 탐지를 회피할 수 있는 적응형 통신을 자랑한다.
셸코드
셸코드는 명령을 실행하고 취약한 시스템을 제어하거나 악용하는 데 활용될 수 있는 명령어 집합이다.
대상 시스템에서 셸코드를 실행하여 멀웨어를 실행하거나 추가 페이로드를 다운로드하는 트로이목마는 추적 기간(2022년 1월~12월) 동안 탐지율이 1.9%로 상당히 낮았다.
슐레이어
일반적으로 인스톨러와 다양한 크래킹 툴로 위장한 슐레이어는 1.4%의 비율로 계속 출현하며 애드웨어, 원치 않는 애플리케이션을 제공하고 가짜 검색 엔진을 홍보한다. 대부분의 감염은 와레즈 및 토렌트 사이트에서 발생한다.
지속적인 보안 패치와 제로데이 익스플로잇
지난 6개월 동안 애플은 맥, 아이폰, 아이패드, 애플 워치를 포함한 모든 기기에 대해 60개 이상의 보안 패치를 출시했다. 이 중 28개의 보안 패치는 지난 3개월 동안 출시되었으며, 이 중 일부는 새로운 OS가 출시됨에 따라 중요한 보안 취약점을 서둘러 패치했다.
최신 소프트웨어 개발, 앱 출시 및 업데이트 속도는 매우 빠르기 때문에 보안 패치는 드물지 않게 발생한다. 이러한 취약점은 애플뿐만 아니라 모든 소프트웨어 회사에 영향을 미친다. 그러나 사이버 범죄자들에게 새로운 소프트웨어와 OS는 공격할 수 있는 절호의 기회이며, 지하 범죄 조직에서는 제로데이 익스플로잇이 유행하고 있다.
이 보고서는 블랙 햇 해커들이 제로데이 취약점뿐만 아니라 사용자의 느슨한 사이버 보안 위생도 악용하고 있다고 덧붙인다. 트로이 목마, 크립토 재커, 백도어, 맥에 대한 랜섬웨어 공격은 모두 사람의 실수로 인해 발생한다.
맥 바이러스 부터 안전을 확보하는 방법
맥 환경을 위해 코딩된 새로운 맥 바이러스가 걱정스럽기는 하지만, 사용자가 보안을 유지하기 위해 할 수 있는 몇 가지 방법이 있다.
비트디펜더의 보고서에 따르면 패치되지 않은 취약점을 악용하는 트로이 목마와 같은 멀웨어는 특히 애플의 최신 보안 패치 설치를 미루는 사용자에게 위험하다고 설명한다. 따라서 맥을 최신 상태로 유지하는 것은 보안을 위해 매우 중요하다.
알 수 없는 사이트를 방문할 때 URL을 주의 깊게 살펴보는 것도 중요하다. 또한 모든 다운로드는 합법적이고 신뢰할 수 있는 사이트를 통해 이루어져야 한다. 또한 사이버 범죄자들은 끊임없이 혁신하고 사용자를 속일 수 있는 새로운 방법을 찾고 있으므로 사용자는 사이버 범죄자들이 사용하는 최신 트렌드와 기법에 대해 알고 있어야 한다.
범죄자들이 피해자를 악성 피싱 사이트로 리디렉션하는 데 사용하는 구글과 같은 유명 검색 엔진의 가짜 광고를 사용하는 것도 최근 인기를 얻고 있는 기법 중 하나이다. 브라우저 설정을 가장 높은 보안 수준으로 설정하고 사이트가 악성 사이트로 표시될 때 경고를 무시하지 않는 것도 중요하다.
마지막으로, 맥을 정기적으로 검사하고 추가적인 전문 보안에 투자하는 것이 항상 큰 도움이 된다.
출처
- 패트릭 워들의 2023년 맥 멀웨어 (목표-보기)
- 러스트로 작성된 새로운 macOS 백도어, 윈도우 랜섬웨어 그룹과의 연결 가능성 보여줘 (Bitdefender)
- 보그단 보테자투 (LinkedIn)
- 2013년 1월부터 2023년 7월까지 데스크톱 PC용 운영 체제가 보유한 글로벌 시장 점유율 (Statista)
- 애플@ Work: IT 트렌드 보고서, 애플의 기업 성장은 계속될 것 (9to5Mac)
- 애플은 세계에서 가장 가치 있는 브랜드, 브랜드파이낸스는 말합니다 (BusinessLIVE)
- 아토믹 스틸러가 업데이트된 버전으로 새해를 맞다 (MalwareBytes)
- macOS 위협 환경 보고서 (Bitdefender)
- 애플 보안 릴리스 (Apple)