CloudMensis 탐지: macOS 사용자 데이터를 훔치기 위한 새로운 멀웨어

새로운 CloudMensis 악성코드가 매우 대상으로 한 공격으로 활동을 시작했습니다. 연구자들은 공격자들이 피해자의 기기에 초기 접근을 하기 위해 사용한 기술을 아직 밝혀내지 못했지만, 2월 이후 발생한 소수의 문서화된 공격은 특정하고 제한적인 수의 표적을 겨냥한 캠페인 중 정보 탈취를 위해 CloudMensis 악성코드가 배포되었음을 나타냅니다. 이는 덜 효과적인 무차별 방식과는 거리가 멉니다.

이 악성코드는 2022년 4월 처음으로 보안 레이더에 포착되었습니다. 연구자들은 이 악성코드의 주된 목표가 감염된 기기에서 민감한 데이터를 수집하고, 손상된 사용자를 감시하는 것임을 발견했습니다. CloudMensis는 Dropbox, pCloud, Yandex Disk와 같은 공용 클라우드 저장소를 C2 통신에 사용하며, 주요 목표는 인텔 또는 애플 칩에서 실행되는 기기입니다.

CloudMensis 탐지

개인 사용자 및 조직이 인프라를 더 잘 보호할 수 있도록 돕기 위해, 우리의 예리한 위협 보상 개발자 Onur Atali 는 최근 CloudMensis 악성코드를 신속히 탐지할 수 있는 Sigma 규칙을 출시했습니다. 등록된 사용자는 SOC Prime의 Detection as Code 플랫폼에서 이 규칙을 다운로드할 수 있습니다:

CloudMensis macOS Spyware Detect (파일 이벤트를 통해)

이 탐지는 20개 이상의 SIEM, EDR & XDR 플랫폼에서 사용 가능하며, MITRE ATT&CK® 프레임워크 버전 10과 맞춰 사용자 실행 (T1204) 기술을 포함한 실행 전술을 처리합니다.

사이버 보안에 능숙한 사람들은 더할 나위 없이 위협 보상 프로그램 에 참여하여 그들의 Sigma 규칙 을 28,000명 이상의 사용자가 참여하는 커뮤니티와 600명의 위협 보상 프로그램 연구자 및 위협 사냥꾼과 공유할 수 있으며, SOC Prime 플랫폼에 자신의 탐지 콘텐츠를 기여하면서 지속적으로 보상을 받을 수 있습니다.

SOC Prime 플랫폼의 위협 탐지 마켓플레이스 저장소를 탐색하려면 Detect & Hunt 버튼을 눌러 급속히 확장되는 환경에서 첨단 위협을 신속하게 식별할 수 있습니다. SOC Prime의 탐지 콘텐츠 라이브러리는 협력하는 사이버 디펜스 접근법으로 강화되고 Follow the Sun (FTS) 모델에 의해 중요한 위협 탐지를 제때 제공하기 위해 지속적으로 새로운 콘텐츠로 업데이트됩니다. 현재 사이버 위협 환경을 형성하는 최신 트렌드를 따라가고 관련 위협 컨텍스트를 파악하는 데 관심이 있으신가요? SOC Prime의 검색 엔진을 시도해보세요! Explore Threat Context 버튼을 눌러 주요 위협과 새롭게 발표된 Sigma 규칙들의 풀로 즉시 탐색하고, 원스톱 숍에서 관련 컨텍스트 정보를 탐색할 수 있습니다.

Detect & Hunt Explore Threat Context

CloudMensis 분석

사이버 보안 회사 ESET 는 macOS 운영체제에서 작동하는 기기를 손상시키는 데 사용된 이전에 문서화되지 않은 스파이웨어에 주목했습니다. 첫 감염은 2022년 초 2월에 발생했으며, 추가 공격도 이어졌다고 ESET 연구자가 발표한 분석서에 적혀 있습니다.

해커가 관리자 권한을 획득하면, CloudMensis 페이로드는 2단계 프로세스로 배포됩니다. 첫 단계는 시스템 전체 데몬으로서 주요 페이로드의 다운로드 및 실행이 특징입니다. 분석된 악성코드 샘플을 통해 연구자들은 화면 캡처 시작, 쉘 명령 실행, 임의 파일 가져오기 및 실행, CloudMensis 설정 값 변경, 이메일 메시지 및 이동식 저장소에서 파일 목록 작성 등의 프로세스를 시작할 수 있는 39개의 명령을 구현한 것을 식별할 수 있습니다.

사이버 행위자들은 낮은 보안 구성과 기타 열악한 사이버 위생 관행을 흔히 이용하여 목표 목록을 늘립니다. SOC Prime 는 정보 보안 전문가들에게 기존 및 새롭게 등장하는 위협에 대한 높은 수준의 가시성을 제공하는 적절한 도구 세트를 제공합니다.