Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Xcode Project 악성코드, 애플 M1을 표적으로 삼다
작성일 2021-04-20 조회 145

XCSSET malware

 

 

애플 사에서 출시한 맥북 에어, 맥북 프로는 많은 사람들에게 사랑 받고 있는 제품이다. 맥에서만 사용할 수 있는 프로그램부터 디스플레이, 다른 애플 제품들과 연동, 심지어 디자인까지 사용자로 하여금 맥에서만 느낄 수 있는 편리함과 고급스러움을 느낄 수 있는 요소들이 맥에 존재한다.

 

2020년 11월 애플은 자사의 제품의 성능을 높일 수 있는 M1 칩을 선보였다. M1 칩은 CPU와 GPU 그리고 메모리까지 갖추고 있는 통함 메모리 구조를 가지고 있다. 기존 제품의 성능을 끌어올리기 위해 칩을 이루고 있는 CPU와 GPU의 성능을 최대한 끌어올린 것이다. 뿐만 아니라 보안성을 높이기 위해 기존 하드웨어 보안으로 활용되던 Secure Enclave 기술 또한 최신 버전으로 업데이트 했다.

 

 

M1 칩에 탑재된 8코어 CPU를 보여주는 도표

 

[그림 1. 애플 사의 M1 칩]

 

 

 

하지만 맥을 대상으로 진행하는 악성 코드 공격들 중 Xcode를 사용하는 개발자들을 표적으로 공격이 새롭게 출시한 M1 칩을 호환하도록 진화 중이라는 사실이 밝혀졌다. Xcode는 맥에서 사용하는 App을 만드는 개발자 플랫폼이다. 이 Xcode 개발자 도구를 이용한 공격은 암호 화폐 App에서 활용하는 민감한 데이터를 탈취하는 형태의 공격이 수행되었다.

 

이와 같은 공격에서 사용된 악성 코드는 XCSSET로 알려져 있다. XCSSET은 감염된 Xcode 프로젝트를 통해 확산시킬 때 사용하는 도구다. Xcode를 통해 이 악성 코드가 어떻게 감염되는지 정확히 알려지지 않았지만 한번 감염되면 XCSSET을 통해 다른 개발자들에게도 이 코드가 확산된다. 뿐만 아니라 XCSSET에는 스크린 샷을 캡처하거나 악성 자바스크립트 코드를 웹 사이트에 주입하는 등 다양한 기능들을 수반하고 있어 다양한 공격이 가능하다.

 

2021년 3월 카스퍼스키는 새롭게 출시한 M1 칩에 맞게 컴파일된 XCSSET을 발견했다. 이 사실을 통해 Xcode 개발자들을 대상으로 한 공격이 M1 칩에 공격이 가능하도록 발전하고 있고 계속 공격 중이라는 것을 알 수 있다.

 

 

 

[그림 2. XCSSET의 실행 파일을 환경에 맞게 자동 조정하는 코드]

 

 

Trend Micro의 최신 연구에 따르면 XCSSET은 Safari 브라우저 개발 버전을 악용하여 UXSS(Universal Cross-iste Scripting) 관련 자바 스크립트 백도어를 웹 사이트에 설치하고 있다고 한다. XCSSET 악성 공격에는 암호 화폐를 활용한 공격 또한 나타나고 있다. 암호 화폐 거래 플랫폼인 Huobi, Binance, NNCall[.]net, Envato, 163[.]com을 포함한 여러 웹 사이트에서 계정 정보를 훔치거나 암호 화폐 지갑의 주소를 사용자가 아닌 공격의 주소로 대체하는 식으로 시도하고 있다.

 

추가로 Xcode를 이용한 공격은 Xcode를 사용하는 개발자들을 대상으로 이뤄지기 때문에 공급망 공격으로 이어질 수 있으므로 심각한 위협이 될 수 있다.

 

 

출처

 

https://thehackernews.com/2021/04/malware-spreads-via-xcode-projects-now.html

https://www.intego.com/mac-security-blog/mac-malware-exposed-xcsset-an-advanced-new-threat/

https://www.trendmicro.com/en_us/research/20/h/xcsset-mac-malware--infects-xcode-projects--uses-0-days.html

https://www.apple.com/kr/newsroom/2020/11/apple-unleashes-m1/

 

첨부파일 첨부파일이 없습니다.
태그 Apple  M1 chip  XCSSET