본문 바로가기

security/보안 뉴스

[Sophos] 중국 소수민족들을 공격하는 Mac 맬웨어 증가

http://www.securitytrust.co.kr/bbs/view.asp?tName=tb_sophosnews&RecID=20400


작년 동안, 소포스랩은 이미 패치가 적용된 MS 오피스의 오래된 취약점을 이용하는 중국의 소수민족들에 대한 공격에 대해 이야기를 해 왔습니다.

우리는 과거에 몇몇 공격들을 봐왔습니다.

이번 주 초에는, 에일리언봍트(AlienVault)의 직원이 Mac OS X의 오피스 제품에서 동일한 취약점을 사용한 또 다른 공격을 봤는데, 그것은 서부 터키의 위구르(Uyghur) 족을 타깃으로 하는 것입니다.

MS09-027로 알려진 그 취약점은 마이크로소프트 워드에서 원격 코드 실행을 허용하는 것이었고, 2009년 6월에 마이크로소프트에서 패치를 했었습니다.

그 의미는 패치되지 않은 컴퓨터에서 부비트랩 워드문서를 열면 여러분 Mac에 악성코드를 실행시킬 수 있다는 의미입니다. 여러분이 정신이 없어 워드파일의 내용을 읽게 되면, 맬웨어는 눈에 띄지도 않고 조용히 여러분 컴퓨터에 설치됩니다.

많은 Mac 사용자들은 Mac OS가 어떤 소프트웨어를 설치하기 전에 관리자의 사용자명과 비밀번호를 물어볼 것이라는 희망을 가지고 있겠지만, 그것이 유저랜드(userland) 트로이목마(Trojan)와 같은 공격에는 그런 메시지가 뜨지 않고, 관리자 신원정보를 요구 받지도 않을 것입니다.

왜냐하면 이것은 루트 권한을 요구하는 Mac OS X의 /tmp/ nor /$HOME/Library/LaunchAgents 폴더에 있지 않기 때문입니다. 소프트웨어 어플리케이션들은 어떤 어려움도 없이 userland에서 동작할 수 있고, 심지어 네트워크 소켓을 열고 데이터를 전송할 수도 있습니다.

소포스 제품들은 그 악성 문서를 Troj/DocOSXDr-B로 감지하고 그 맬웨어를 Mac 트로이목마 OSX/Agent-AADL로 감지합니다.

확실히 이번 캠페인 동안에 OSX/Agent-AADL는 약간의 성장이 있었습니다. 왜냐하면 우리가 3개의 서로 다른 버전을 봤기 때문인데, 그 첫 번째 것은 매우 흥미롭습니다.:

트로이목마의 최신 버전에서, 그 기능과 다양한 이름들은 밝혀졌고 그 쉘 스크립트 파일명은 더욱 더 감추어졌습니다.

다시 한번, Mac 사용자들은 그들 컴퓨터의 안전이 만족스럽지 않다는 것을 명심할 필요가 있습니다. 비록 Windows 용 맬웨어보다 Mac용 맬웨어가 훨신 적기는 하지만, 만약 여러분이 이와 같은 공격에 타깃이 된다면 어떤 보상도 없을 것입니다.

Windows 사용자들처럼 Mac 사용자들도 최신 보안 패치에 관심을 기울이고 그들의 소프트웨어를 최신 업데이트로 적절히 유지해야 할 필요가 있습니다.

만약 여러분이 아직 그렇게 하고 있지 않다고 하면, 여러분의 Mac에 안티 바이러스 소프트웨어를 설치하십시오. 여러분이 홈 사용자라면, 우리는 Mac 고객을 위한 무료 안티바이러스를 제안합니다.