요약 : 보안 외신 블리핑컴퓨터에 의하면 맥OS 파일들의 속성을 악용해 멀웨어를 퍼트리는 새로운 기법을 공격자들이 활용하고 있다고 한다. 이 캠페인을 통해 퍼지고 있는 멀웨어는 러스티어트르(RustyAttr)로, 일종의 트로이목마로 분류되고 있다. 미끼용 PDF 문건과, 커스텀 파일 메타데이터 내에 악성 코드를 숨기는 기법으로 탐지를 회피한다. 하지만 아직까지 이 캠페인의 피해자가 명확히 파악되지는 않고 있다고 한다. 공격자가 이러한 새로운 전략을 실험하는 단계에 있는 것으로 추정된다. 배후에는 북한의 라자루스(Lazarus)가 있을 것으로 추정되지만 아직 확실한 건 아니다. 파일의 메타데이터 내에 코드를 숨기는 기법은 흔치 않고, 탐지 회피에도 효과적인 것으로 알려져 있다.


배경 : 맥OS의 파일들에는 ‘확장 속성(extended attribute)’이라는 것이 있다. 파일과 관련된 메타데이터들이 여기에 저장된다. 맥OS의 파인더 앱을 통해서 열람할 수 없다. 특수한 명령을 사용해야 눈에 보이게 된다. 이런 확장 속성이 저장된 파일에 악성 코드를 숨기면, 원래 이 확장 속성이 숨겨져 있기 때문에 탐지가 잘 되지 않는다. 라자루스는 최근 맥OS 환경을 적극 공략하고 있는데, 이런 기법도 그러한 연구 과정에서 발견된 것으로 보인다.

말말말 : “북한 공격자들은 맥OS 환경을 침해하기 위해 여러 가지를 시도하고 있습니다. 특히 암호화폐와 관련된 공격을 하기 위해 맥OS를 자주 노리는 편입니다.” -그룹IB(Group-IB)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>