해커들이 리눅스 악성코드를 제어하기 위해 디스코드 이모지를 사용하고 있습니다

사이버 보안 회사 Volexity는 최근 2024년 인도 정부 기관을 목표로 하는 사이버 스파이 마케팅 캠페인을 식별했습니다. 이 캠페인은 맞춤형 리눅스 악성코드를 사용하고 있습니다.

새롭게 발견된 리눅스 악성코드 DISGOMOJI는 UTA0137이라는 이름의 파키스탄 기반 위협 행위자에게 귀속되었습니다. 이 악성코드는 Golang으로 작성되었으며 리눅스 시스템을 위해 컴파일되었습니다.

“2024년, Volexity는 현재 UTA0137이라는 별칭으로 추적 중인 파키스탄 기반 위협 행위자가 수행한 사이버 스파이 캠페인을 식별했습니다.”라고 Volexity는 블로그 게시물에서 설명합니다.

“Volexity는 UTA0137이 스파이 관련 목표를 가지고 있으며 인도의 정부 기관을 목표로 할 권한이 있다고 높은 신뢰도로 평가합니다. Volexity의 분석에 따르면 UTA0137의 캠페인은 성공적이었던 것으로 보입니다.”

DISGOMOJI는 명령 및 제어(C2) 작업을 위해 메시징 서비스인 디스코드를 활용하는 공개 프로젝트 Discord-C2의 수정된 버전으로, C2 통신에 이모지를 사용합니다.

이 악성코드는 리눅스 시스템만을 목표로 하며, 특히 인도의 정부 기관이 일상 데스크톱으로 사용하는 맞춤형 리눅스 배포판인 BOSS를 사용합니다.

이 악성코드는 2024년 5월 블로그 게시물에서 블랙베리가 언급한 것과 동일한 “올인원” 스파이 도구로, 투명한 부족(Transparent Tribe) 행위자가 인도 정부, 국방 및 항공 우주 부문을 목표로 하는 데 사용했습니다.

Volexity는 또한 UTA0137이 취약한 “BOSS 9” 시스템에 대해 DirtyPipe (CVE-2022-0847) 권한 상승 취약점을 사용했다는 사실을 밝혀냈습니다.

감염 체인은 Golang으로 작성된 UPX 패킹된 ELF로 시작되며 ZIP 파일 내에서 전달됩니다. 이 ELF는 피해자를 속이기 위해 인도의 방위 서비스 장교 적립 기금(DSOP.pdf)이라는 무해한 유인 파일을 다운로드합니다.

그 후 악성코드는 원격 서버인 clawsindia[.]in에서 vmcoreinfo라는 다음 단계의 페이로드를 다운로드하며, 이는 사용자의 시스템에 .x86_64-linux-gnu라는 숨겨진 폴더에 드롭됩니다.

DISGOMOJI가 시작되면 피해자의 정보(내부 IP, 사용자 이름, 호스트 이름, 운영 체제 및 현재 작업 디렉토리 등)를 포함한 체크인 메시지를 채널에 전송합니다. 이 악성코드는 지속성을 유지하며 시스템 재부팅을 견딜 수 있습니다.

DISGOMOJI는 크론 작업을 사용하여 시스템에서 지속성을 유지하며 시스템 재부팅을 견딜 수 있습니다.

그러나 DISGOMOJI 악성코드와 USB 장치가 연결되어 있는지 확인하고, 연결되어 있다면 데이터를 훔치는 데 사용되는 uevent_seqnum.sh라는 스크립트를 포함하여 추가 페이로드가 백그라운드에서 다운로드됩니다.

“DISGOMOJI는 디스코드 서버의 명령 채널에서 새로운 메시지를 수신 대기합니다. C2 통신은 이모지 기반 프로토콜을 사용하여 이루어지며, 공격자는 이모지를 명령 채널에 보내어 악성코드에 명령을 전송하며, 필요에 따라 이모지 뒤에 추가 매개변수를 붙입니다.”라고 Volexity는 계속 설명했습니다.

DISGOMOJI가 명령을 처리하는 동안, 공격자에게 명령이 처리되고 있음을 알리기 위해 명령 메시지에 “시계” 이모지로 반응합니다.

명령이 완전히 처리되면 “시계” 이모지 반응이 제거되고 DISGOMOJI는 명령 메시지에 “체크 마크 버튼” 이모지로 반응하여 명령이 실행되었음을 확인합니다.

감염된 장치에서 실행할 수 있는 아홉 가지 다른 이모지 명령이 있습니다:

Volexity의 분석에 따르면 UTA0137은 감염 후에도 Nmap을 사용한 네트워크 스캐닝, Chisel 및 Ligolo를 사용한 네트워크 터널링, oshi[.]at과 같은 파일 공유 서비스를 사용하여 데이터를 단계적으로 도출하는 등 합법적이고 오픈 소스 도구를 사용하고 있습니다.

또 다른 포스트 익스플로잇 활동은 UTA0137이 악성 대화 상자를 표시하고 사용자가 비밀번호를 포기하도록 사회 공학적으로 유도하기 위해 Zenity 유틸리티를 사용하는 것입니다.

“공격자는 Golang 악성코드 DISGOMOJI로 여러 피해자를 성공적으로 감염시켰습니다. UTA0137은 시간이 지남에 따라 DISGOMOJI를 개선했습니다.”라고 사이버 보안 회사는 말했습니다.

Volexity는 DISGOMOJI가 사용자 브라우저 데이터 및 문서를 훔치고 데이터를 도출하는 편리한 명령을 지원하는 스파이 동기를 가진 도출 기능이 있다고 덧붙였습니다.

또한 이 악성 활동은 인도 정부 기관을 목표로 하는 패턴과 하드코딩된 아티팩트를 기반으로 “중간 신뢰도로” 파키스탄 기반 위협 행위자에게 귀속됩니다.