쿠쿠 맬웨어 탐지: Intel 및 ARM 기반 Mac을 노리는 새로운 macOS 스파이웨어 및 정보 탈취

사이버 보안 연구원들은 최근 Cuckoo 멀웨어라 불리는 새로운 악성 변종을 발견했습니다. 이 멀웨어는 스파이웨어와 인포스틸러의 기능을 모방하며, 인텔 및 Arm 기반의 Mac 컴퓨터에서 실행될 수 있습니다.

Cuckoo 멀웨어 탐지

현재 진행 중인 정보 탈취 공격의 급증 macOS 멀웨어 는 방어를 강화할 필요성을 부각시킵니다. SOC Prime 플랫폼은 새로운 “Cuckoo” 지속적인 macOS 스파이웨어와 연관된 의심스러운 활동을 방어자들이 제때에 식별할 수 있도록 돕기 위해 탐지 알고리즘 세트를 큐레이션합니다. 이 스파이웨어는 또한 정보 탈취 능력을 갖추고 있습니다.

탐지 결과는 MITRE ATT&CK® 프레임워크 v.14.1 에 매핑되어 있으며, 심층 메타데이터로 풍부하게 구성되어 있습니다. 탐지 엔지니어링 작업을 가속화하기 위해 탐지 코드를 여러 SIEM, EDR 및 데이터 레이크 형식으로 자동 변환할 수도 있습니다.

버튼을 클릭하십시오 탐지 탐색 를 하여 “Cuckoo 멀웨어” 태그로 필터링된 관련 Sigma 규칙에 접근하고, 귀사 조직이 macOS를 표적으로 하는 공격을 사전 방어할 수 있도록 돕습니다.

탐지 탐색

Cuckoo 멀웨어 분석

칸지 연구원들 은 최근 스파이웨어와 인포스틸러의 기능을 모방하도록 기술적으로 제작된 새로운 악성 Mach-O 바이너리를 발견했습니다. 방어자들은 이 새로운 멀웨어를 ‘Cuckoo’라 불렀으며, 이는 다른 새의 둥지에 알을 낳고 그 자원을 자신의 새끼를 위해 사용하는 뻐꾸기 새의 행동에서 영감을 받은 것입니다.

정확한 멀웨어 배포 방법은 현재로서는 불확실합니다. 그러나 연구자들은 이 악성 Mach-O 바이너리가 음악을 스트리밍 서비스에서 추출하고 MP3 형식으로 변환하는 데 특화된 무료 및 유료 버전의 응용 프로그램을 제공하는 웹사이트 세트에 호스팅되고 있음을 확인했습니다.

이러한 웹사이트에서 디스크 이미지 파일을 다운로드하면 bash 쉘이 생성됩니다. 공격자들은 이를 사용해 호스트 시스템에 대한 데이터를 수집하고 악성 바이너리를 실행하기 전에 영향을 받는 시스템이 아르메니아, 카자흐스탄, 러시아, 벨라루스 또는 우크라이나 이외의 위치를 갖도록 합니다.

정보를 탈취하는 악성 변종은 일반적으로 스파이웨어에서 더 자주 볼 수 있는 지속성을 설정하지 않습니다. 그러나 최근에 발견된 Cuckoo 멀웨어는 이러한 드문 행동을 보이는 것으로 관찰되었습니다. Cuckoo는 LaunchAgent를 사용하여 지속성을 구현하며, 이는 이전의 다양한 멀웨어 군에서 이미 사용된 방법입니다. 예를 들어 XLoader, JaskaGO, RustBucket 등이 있습니다.

권한 상승을 위해 Cuckoo는 osascript를 활용해 MacStealer macOS 멀웨어와 유사한 기만적인 비밀번호 프롬프트를 제시합니다. Cuckoo 멀웨어는 정교한 전술을 사용하며, 하드웨어 정보 수집, 실행 중인 프로세스 캡처, 설치된 응용 프로그램 검색뿐만 아니라 웹 브라우저, 암호화폐 지갑 및 인기 있는 소프트웨어 응용 프로그램을 포함한 다양한 소스에서 데이터를 수집하기 위한 일련의 명령을 실행할 수 있습니다. 이 멀웨어는 소켓과 curl API를 활용해 C2 서버로 통신합니다.

특히 발견된 무기화된 각 응용 프로그램은 자신의 리소스 디렉토리 내에 추가 응용 프로그램 번들을 포함하고 있습니다. 방어자들은 아직 발견되지 않은 Cuckoo를 배포하는 더 많은 웹사이트와 응용 프로그램이 있을 수 있다고 제안하며, 이는 적극적인 방어 조치가 필요함을 강조합니다.

다음에 의존하십시오 SOC Prime의 완전한 제품군 은 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥 및 탐지 스택 유효성 검사를 통해 침입을 사전에 차단하고 끊임없이 진화하는 디지털 환경의 맥박을 항상 유지할 수 있습니다.