#8「코발트스트라이크로 맥OS를 노리는 공격자들」

악명 높은 해킹 도구 코발트스트라이크(Cobalt Strike) 의 새로운 맥OS 버전이 등장했다.

 

코발트스트라이크는 원래 모의 해킹을 위한 도구였지만 이제는 공격자들이 더 많이 활용하는 ‘무기’로 바뀐 지 오래다. 새로운 코발트스크라이크는 고 언어로 만들어졌으며 이름은 지콘(Geacon)이고 맥OS 사용자들을 주로 노린다. 이미 4년 전 깃허브(GitHub)에 나타났으나 여태까지 큰 주목을 받지 못했다가 최근 공격자들이 갑자기 애용하기 시작했다. 맥OS에 대한 공격이 본격화되기 시작한 것이다. 

 

 

 

 

 

 

지콘의 사용 방법과 활용도는 코발트스트라이크가 윈도에서 수행했던 기능들이 맥OS에서 실행되는 것일 뿐으로 코발트스트라이크와 크게 다르지 않다. 보안 업체 센티넬원(SentinelOne)이 조사한 바에 따르면 지콘의 일부 샘플들은 정상적인 레드팀이 사용하기 위해 만들어진 것으로 보일 정도였지만 누가 봐도 노골적으로 악성 행위를 위한 것으로 파악될 만한 샘플들도 바이러스토탈(VirusTotal)에 업로드 되어 있었다고 한다.

 

 

4월 5일 제출된 샘플의 경우 애플스크립트(AppleScript) 애플릿 형태로 되어 있었고 이름은 ‘쑤 이킹의 이력서_20230320.app’였다. 이 스크립트가 발동되면 서명되지 않은 지콘 페이로드가 중국 IP 주소가 할당되어 있는 악성 서버로부터 피해자의 시스템으로 다운로드 된다. 이 경우 레드팀의 합법적인 도구가 발휘하는 기능이라고 보기 힘들다.

 

이 애플리케이션은 맥OS 시스템에서 작동할 수 있도록 컴파일링 된 것으로 분석됐다. 애플의 칩셋과 인텔의 칩셋과 호환이 됐다. 특정 맥OS 시스템의 아키텍처를 먼저 확인한 후에 알맞은 지콘 페이로드를 다운로드 하는 로직을 가지고 있었고, 컴파일이 된 지콘 바이너리에는 임베드 된 PDF 파일이 포함되어 있었다. 이 PDF 파일은 쑤 이킹이라는 개인의 이력서를 화면에 출력하고, 뒤에서는 C&C 서버와 통신망을 구축한다. “지콘 바이너리는 네트워크 통신, 암호화, 복호화, 추가 페이로드 다운로드, 데이터 유출 등의 여러 개의 기능을 가지고 있었습니다.”

 

 

또 다른 지콘 페이로드 샘플의 경우 시큐어링크(SecureLink)의 가짜 기업용 원격 지원 애플리케이션 을 포함하고 있었다. 4월 11일에 바이러스토탈에 업로드 됐고, 인텔 기반 맥OS 시스템에만 호환이 되는 것으로 분석됐다. 이 샘플은 자동화 기술을 통해 만들어진 것으로 보이며, 사용자에게 카메라와 마이크로폰에 대한 접근 권한, 관리자 권한 등을 요청하는 것으로 밝혀졌다. 일본의 IP를 가지고 있는 코발트스트라이크 C2 서버와 교신한다는 특성을 가지고 있었다.

 

 

 

---

“시큐어링크를 흉내 낸 해킹 공격은 그 동안에도 여러 차례 발견됐습니다. 작년에 발견된 맥OS용 멀웨어인 슬리버(Sliver)의 경우에도 가짜 시큐어링크를 활용했었습니다. 맥OS라는 것이 이제 공격자들에게 꽤나 주목을 받는 시스템 및 생태계라는 것을 사용자 기업들이 기억해야 합니다. 맥OS용 멀웨어들이 점점 고도화 되고 있고, 보편화 되고 있습니다.”

 

---

 

 

위에서도 언급했지만 코발트스트라이크는 공격자들 사이에서 높은 빈도로 활용되는 공격 도구다. 특히 익스플로잇 후 피해자들을 공략하고, 횡적으로 움직이며 페이로드를 생성하고 피해자의 시스템에 심는 등의 행위를 할 때 중요한 역할을 담당한다. 윈도 기반 생태계에서는 코발트스트라이크가 공격자들의 필수품이라고 해도 과언이 아니었다. 그런 존재가 이제 맥OS에서도 생긴 것이라고 센티넬원은 강조한다.

“코발트스트라이크와 같은 레드팀 도구가 맥OS 생태계에서 활용된 사례는 이전에도 있었습니다. 예를 들어 미씩(Mythic)이라는 도구도 이전에 발견된 적이 있죠. 미씩 역시 맥OS를 위주로 한 레드팀 도구인데 공격자들이 활용한 적이 있습니다.” 맥OS에서 코발트스트라이크와 같은 도구를 활용하고자 하는 마음은 해커들 사이에 진작부터 있었다는 뜻이다. 하지만 오리지널 버전 지콘은 어떤 이유에서인지 주목을 받지 못했다.

지콘을 활용한 최근 악성 활동은 한 익명의 중국 보안 전문가 혹은 해커가 두 개의 지콘 버전을 지난 10월 세상에 공개하면서부터 본격화 되기 시작했다. 이 자는 제라툴(z3ratu1)이라는 이름으로 활동했으며, 지콘 버전 중 하나는 유료(geacon_pro), 하나는 무료(geacon_plus)로 발표했다. 유료 버전에는 백신 우회나 종료 시도 차단 등과 같은 추가 기능이 들어 있었다고 센티넬원의 수석 분석가인 톰 헤겔(Tom Hegel)은 설명한다.

올해 초 보안 업체 업틱스(Uptycs)는 새로운 맥용 멀웨어가 등장했다고 발표했다. 이 때 공개된 샘플은 맥스틸러(MacStealer)였다. 문서, 아이클라우드 키체인, 브라우저 쿠키 등을 훔치는 기능을 가지고 있었다. 4월에는 록빗(LockBit) 랜섬웨어 운영자들이 맥용 랜섬웨어를 공식으로 출시하면서 언론과 보안 업계의 주목을 받았다. 메이저급 랜섬웨어 운영자들이 정식 맥용 랜섬웨어를 내놓은 건 처음 있는 일이었다. 북한의 라자루스 그룹도 작년부터 맥을 적극적으로 노려온 것으로 알려져 있다.

 

 

 

 

---

 

https://m.boannews.com/html/detail.html?idx=118174

 

맥OS 노리는 공격자들의 손에 코발트스트라이크가 쥐어졌다