더 이상 악성코드에 안전하지 않은 Mac

윈도우용 악성코드, Mac 환경에서 작동하도록 변형되어 발견

[보안뉴스 민세아] 윈도우용 악성코드가 맥(Mac) 악성코드로 변경된 샘플이 발견됐다. 윈도우와 달리 안전하다고 생각했던 Mac 사용자들이 사이버 범죄자들의 새로운 목표가 되고 있다.

▲ 이젠 더 이상 싱싱한 사과만은 기대할 수 없게 됐다.

이는 보안솔루션 전문업체인 파이어아이(FireEye)의 연구원에 의해 발견됐는데, 파이어아이 측은 GREF라는 범죄그룹이 최근 Mac OS X를 대상으로 하는 XSLCmd 백도어 프로그램 변종을 사용하는 것을 발견했다고 전했다.

GREF는 전세계적으로 전자제품 및 엔지니어링 분야의 기업, 재단에 대해 사이버 스파이 공격을 수행하는 것으로 알려져 있다. 또한, XSLCmd는 리버스 쉘을 열 수 있는 기능을 가지고 있으며, 목록과 파일을 전송하고 감염 컴퓨터에 대해 추가적인 악성코드를 설치 할 수 있는 악성코드다.

해당 악성코드가 Mac PC에 설치가 되면 /Library/Logs/clipboardd와 $HOME/Library/LaunchAgents/clipboardd에 자신을 복사하고 시스템을 재부팅한다. 자동 재실행 및 기능 수행을 위해 com.apple.service.clipboardd.plist 파일 등 아래와 같은 파일을 생성한다.

▲생성파일 목록

이와 관련한 자세한 사항은 한국인터넷진흥원 침해대응센터 홈페이지나 아래 웹사이트를 참고하면 된다.

[출처]

1. http://thehackernews.com/2014/09/cyber-espionage-group-ported-windows.html

2. http://www.fireeye.com/blog/technical/malware-research/2014/09/forced-to-adapt-xslcmd-backdoor-now-on-os-x.html

[용어정리]

리버스 쉘(Reverse shell) : 피해자 클라이언트쪽에서 공격자 서버쪽으로 접속 하도록 하는 것

[민세아 기자(boan5@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)