꿈을꾸는 파랑새

이번에 2016년 미국 대통령 선거 해킹 관련해서 보안 연구원들이 러시아 해커 조직인 ATP28과 관련된 새로운 악성코드가 발견되었다고 합니다. 일단 X-Agent spyware의 새로운 변종 악성코드는 Windows,iOS,Andriod,Linux 장치에 대한 사이버 공격으로 주 타켓은 MacOS를 한다고 합니다. 해당 악성코드는 웹브라우저 암호를 도용하고 사용자가 보는 화면을 캡처할 수가 있으며 사용자가 실행하지 않아도 원격에서 파일을 실행할 수 있으며 컴퓨터에 저장된 iPhone 백업을 목표하고 있습니다.
X-Agent spyware는 최소한 2007년도부터 운영이 돼 왔으며 러시아 정보와 관련이 있다고 알려진 APT28과 관련이 있다고 합니다.

그리고 루마니아 보안 업체인 Bitdefender에서는 Sofacy,APT28,Sednit Xagent 구성요소와 현재 조사를 진행하는 Mac OS 바이너리와 많은 유사점을 보여주고 있다고 합니다.

그리고 해당 Mac 버전의 X-Agent 악성코드는 공격을 대상을 하는 목적에 따라서 사용자의 정의할 수가 있는 백도어 기능이 있다고 하며 X-Agent는 기본적으로 있는 MacKeeper의 취약점과 Komplex를 악용을 해서 해당 악성코드에 감염된다고 합니다.

더 자세한 내용

그리고 해당 악성코드가 설치되며 디버그가 있는지 확인을 하는 과정을 거치게 되고 디버그를 찾으며 실행을 하는 것을 막으려고 종료시켜버리며 그렇게 행동을 하지 않으면 악성코드는 인터넷 연결이 제어 서버와 통신하기를 대기 상태로 돌아갑니다.

그리고 해당 일부 분석에 의하면 C&C URL의 대부분이 애플 도메인을 위장한 것으로 돼 있으며 해당 C&C에 연결되며 HelloMessage를 전송한 다음 두 개의 통신 스레드를 생성하고 C&C에 정보를 보내고 다른 한쪽은 명령을 받으려고 대기한다고 합니다.

그리고 해당 악성코드에 대해서 Bitdefender에서는 해당 Mac 악성코드 샘플만 보유하고 공격작동 방식에 되면 구체적인 부분은 제공하지 않고 있습니다. 일단 APT28이라는것이 지난 2016년 미국 민주당 전국위원회의 이메일 서버 해킹과 그리고 2016년 미국 대통령선거와 관련된 단체입니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band