Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향3만대의 MacOS를 감염시킨 Silver Sparrow
작성일 2021-02-23 조회 2894

Silver Sparrow로 알려진 새로운 MacOS 악성코드는 3만대의 기기를 감염시켰다. 해당 악성코드는 Red Canary, Malwarebytes, VMware Carbon Black에 의해 발견됬으며 Apple M1 기반으로 컴파일됐다. Malwarebytes는 미국, 영국, 캐나다, 프랑스 등 153개 국가에서 발견됐다고 밝혔다.

 

Apple은 항상 macOS의 보안을 자랑 했지만, 현실은 운영체제가 인기가 높아짐에 따라 악성코드의 표적이 되고 있다. RedCanary에서 공개된 보고서에 따르면 MacOS를 대상으로한 새로운 악성코드들을 발견했다고 전했으며 Virus Total에 Silver Sparrow의 Intel x86_64, Apple M1 계열 파일들이 업로드 됐다.

 


[그림1. updater.pkg 구조]

 

 

 

대부분의 MacOS 악성코드들은 preinstall 및 postinstall 스크립트를 사용해 명령을 실행하거나 추가 프로그램을 설치하는 것과 달리 Silver Sparrow는 자바 스크립트를 이용한다. Silver Sparrow는 C&C서버와 통신하기 위해 전용 Shell 스크립트를 생성하고 LaunchAgent Plist XML을 통해 실행한다.

 


[그림2. 악성 스브립트]

 

 

 

Launch Agent는 매 시간마다 공격자의 서버와 통신해 새로운 명령이 있는지 확인했으며 연구원들은 추가적인 분석을 진행하던 도중 ~/Library/._insu File 파일이 경로에 존재하면 자가삭제를 수행한다는 것을 발견했다. 현재까지는 무엇이 이 KillSwitch를 유발하는지 밝혀내지 못한 상태다.

 

Silver Sparrow의 목적은 아직 불분명한 상태다. Red Canary측에서 일주일 동안 분석을 진행했지만 추가적인 페이로드를 확인할 수 없었다고 전했다. 악성코드는 현재 아래와 같이 "Hello World" 또는 "You did it!"라고 표시된 화면만 표시되고 있어 개발중에 있는 것 같다고 추측했다.

 


[그림3. Silver Sparrow 바이너리]

 

 

 

Malwarebytes의 Thomas Reed는 "MacOS들이 어떻게 감염이 진행됬는지 유포 경로를 확인할 수 없다."고 전했으며 Mac에서 Malwarebytes를 사용할 경우 Silver Sparrow를 탐지할 수 있도록 조치했다. 또한 Red Canary에서 수동으로 탐지하는 방법을 제공하고 있다.

 


[그림4. Silver Sparrow 수동 탐지 명령어]

 

 

 

위 명령어를 입력해 리스트가 출력될 경우 즉시 악성코드 검사를 실시하고 조치할 것을 당부했다.

 

출처

 

https://www.bleepingcomputer.com/news/security/new-silver-sparrow-malware-infects-30-000-macs-for-unknown-purpose/

첨부파일 첨부파일이 없습니다.
태그 Silver Sparrow