Home > 전체기사
새롭게 발견된 맥OS용 백도어, 오션로터스와 관련 있어
  |  입력 : 2018-04-06 11:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
펄 언어 설치돼 있으면 공격 가능...다단계로 페이로드 전파
오션로터스는 베트남 정부와 관련 있는 것으로 알려진 그룹


[보안뉴스 문가용 기자] 최근 발견된 맥OS 백도어가 오션로터스(OceanLotus)라는 사이버 스파이 그룹과 관련이 있다고 보안 업체 트렌드 마이크로(Trend Micro)가 발표했다.

[이미지 = iclickart]


오션로터스는 APT32, APT-C-00, 시로터스(SeaLotus), 코발트 키티(Kobalt Kitty) 등의 이름으로도 알려져 있는 단체로 베트남 정부와 연관되어 있다는 것이 업계 내 중론이다. 동남아 지역에서 활동하는 주요 기업들과 정부 기관들을 표적으로 삼아왔다. 오션로터스는 풍부한 자원을 바탕으로 집요하게 표적을 노리며, 자체 개발한 멀웨어를 사용한다.

이들은 인권 단체들과 언론사, 연구 기관, 해양 관련 건축 업체 또한 주요 공격 대상으로 삼고 있다.

위에서 언급한 맥OS 백도어는 최근 트렌드 마이크로가 발견하고 OSX_OCEANLOTUS.D라는 이름을 붙인 것으로 펄 프로그램 언어가 설치된 기기들에서 주로 발견됐다. 이메일에 첨부된 악성 문서 형태로 퍼지는데, 베트남에서 독립과 민주주의를 홍보하는 HDMC라는 단체에서 보낸 것처럼 위장되어 있다.

악성 문서에는 악성 매크로가 심겨져 있고, 펄로 만들어진 페이로드가 엠베드 되어 있다. 매크로는 문서로부터 XML 파일 한 가지를 추출해낸다. 이 XML 파일은 실행파일로, 최종 페이로드를 드롭하는 기능을 가지고 있다. 이 최종 페이로드가 바로 문제의 백도어인 OSX_OCEANLOTUS.D이다.

드로퍼 자체는 암호화된 문자열들로 구성되어 있다. 암호화 알고리즘은 RSA256이고, 키 역시 하드코딩 되어 있다. 페이로드를 가져오는 것이 가장 주요한 기능이지만, 감염된 시스템 내에서 페이로드가 오랫동안 남아있게 하기 위한 작업도 진행한다. 특히 루트에서 실행되는지 여부를 확인하고, 그렇지 않을 경우 다른 경로와 파일이름을 사용하기 시작한다.

또한 드로퍼는 백도어의 특성을 ‘hidden’으로 조정한다. 그리고 무작위 값들을 사용해 파일의 생성 날짜와 시간 등을 바꾼다. 그런 후에는 스스로를 삭제함으로서 모든 작업을 마무리 짓는다.

백도어에는 두 가지 주요 기능이 포함되어 있다. 플랫폼 정보를 모으고 C&C 서버로 보내는 것이 하나고, C&C 서버로부터 통신 정보를 추가로 받아서 암호화 및 복호화 시키는 것이 둘이다. 이 백도어를 통해 공격자들은 여러 정보를 수집하는 것으로 보인다.

“악성 행위자들이 맥 시스템을 노리는 건 이제 일반적인 일로 보일 만큼 흔한 것이 되었습니다. 그러나 악성 페이로드가 시스템에 도달하는 방법 자체는 크게 다르지 않습니다. 바로 피싱 이메일이죠. 즉 기본적인 보안 실천사항만 잘 지킨다면 이러한 공격으로부터 안전할 수 있다는 겁니다. 맥을 쓰든 윈도우 PC를 쓰든, 이건 마찬가지입니다.” 트렌드 마이크로의 설명이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)