[하루한줄] 약 3만 대의 Apple Mac을 감염시킨 Silver Sparrow 악성코드

URL

Clipping Silver Sparrow’s wings: Outing macOS malware before it takes flight

Target

  • Intel x86_64, M1 chips MAC

Explain

Apple의 새로운 M1 ARM64 아키텍처를 타겟으로 한 악성코드 Silver Sparrow가 발견되었습니다.

Silver Sparrow는 Intel x86_64 아키텍처를 타겟으로 컴파일된 버전과, Inter x86_64 및 M1 ARM64 아키텍처를 타겟으로 컴파일된 버전이 존재합니다. 두 버전 모두 macOS Installer Javascript API를 활용하여 동적으로 쉘 스크립트를 생성하여 공격 명령을 실행합니다. agent.sh 스크립트는 AWS C2 서버에 설치가 완료되었음을 알리고, verx.sh는 주기적으로 C2 서버에 추가적으로 다운로드하거나 실행할 컨텐츠가 있는지 확인합니다.

Intel x86_64용 바이너리의 경우, 추가적인 기능 없이 실행 시 “Hello, World!”가 화면에 출력되며, M1 ARM64용 바이너리 또한 “You did it!”을 출력합니다.

Silver Sparrow는 현재 별다른 기능을 수행하지 않고 있지만, 어떠한 목적을 가지고 있는지 불분명하며 페이로드가 이미 전달되고 제거 되었는지, 향후 추가 배포 일정이 있는지, 악성코드에 의해 어떤 페이로드가 배포되었는지 알 수 있는 방법이 없으며 M1 칩을 타겟으로 잠재적인 공격 가능성이 존재하므로 심각한 위협이라고 밝혔습니다.