파키스탄과 인도는 오랜 앙숙이다. 서로를 향한 날선 공격을 아끼지 않는데, 이는 크리켓 필드에서부터 전산망에까지 광범위하게 발견된다.
[보안뉴스 문정후 기자] 파키스탄의 해커들이 인도 정부 기관을 노리고 사이버 공격을 실시한 것으로 보인다. 이 공격에서 파키스탄 해커들은 새로운 리눅스 멀웨어를 활용했는데, 이 멀웨어는 이모티콘을 공격용 명령어로 사용한다는 특징을 가지고 있다. 보안 업체 볼렉시티(Volexity)는 이 공격자들을 UTA0137이라는 이름을 추적하고 있으며, 이번 캠페인과 관련된 세부 내용을 자사 블로그를 통해 공개했다.
[이미지 = gettyimagesbank]
감염의 순서
큰 틀에서 보면 이번 캠페인은 기존의 APT 공격과 그리 다를 게 없다. 공격은 피싱 이메일의 첨부파일로부터 시작한다. 첨부파일은 집(zip)으로 압축된 것으로, 압축을 해제하면 ELF 파일이 추출된다. 이 ELF 파일은 고 언어로 작성되었으며, 원격 서버에서부터 DSOP.pdf라는 파일 하나를 다운로드 한다고 볼렉시티는 설명한다. “DSOP은 인도의 ‘방위군 장교 지원금(Defence Service Officer Provident Fund)’의 준말이며, 이 PDF 문건에는 악성 요소가 없습니다. 공격을 진행하는 동안 화면에 띄우는 용도의 파일입니다.”
그 다음 이 ELF 파일은 다음 단계의 페이로드를 다운로드 한다. 이 파일의 이름은 vmcoreinfo이며, 위에서 언급한 새 리눅스 멀웨어인 디스고모지(DISGOMOJI)의 인스턴스에 해당한다. 디스고모지도 고 언어로 작성된 ELF 파일 형태로 피해자 시스템에 올라탄다. 그러면서 설계된 악성 기능을 실시하여 피해를 입힌다.
볼렉시티의 설명에 따르면 디스고모지는 디스코드c2(discord-c2)라는 프로젝트를 커스터마이징 한 변종이라고 한다. 디스코드c2는 디스코드를 일종의 C&C 서버로 활용하는 프로젝트라고 이해하면 된다. 공격자들이 이미 존재하던 프로젝트를 가져다가 자신들의 목적에 맞게 만든 멀웨어가 디스고모지인 것이다. 디스코드c2의 특징은 각 피해자와 연결되는 디스코드 채널을 생성해 C&C 서버로 쓴다는 건데, 디스고모지도 이 특징을 계승한다. 피해자마다 고유의 C&C 서버를 가지고 있게 된다.
이 서버들로 디스고모지는 여러 가지 정보를 보내고 저장시킨다. 볼렉시티가 분석한 바에 따르면 여기에는 다음과 같은 정보들이 포함되어 있다고 한다.
1) 내부 IP 주소
2) 사용자 이름
3) 호스트 이름
4) OS 정보
5) 현재 작업용 디렉토리
대부분의 멀웨어들은 시스템을 재부팅하면 사라지는데, 디스고모지는 그렇지 않다. 리눅스의 스케줄러 기능인 크론(cron)을 활용하여 지속성을 확보하기 때문이다. 이는 많은 리눅스용 멀웨어의 특징이기도 하다. 공격을 지속하던 디스고모지는 어느 시점에서 uevent.seqnum.sh라는 파일을 다운로드 받아 실행시키는데, 이 스크립트의 기능은 피해자의 장치에 USB 드라이브가 꽂혀 있는지 확인하고, 있다면 USB로부터 파일을 복사해 로컬 폴더로 옮기는 것이다. 그리고 후속 공격에 이 파일들을 활용한다.
이모티콘을 명령어로
흥미로운 건 공격자들이 C&C 서버에서부터 디스고모지로 이모티콘들을 전달해 여러 기능을 수행한다는 것이다. 디스고모지가 이 명령을 받아 처리하면 시계 모양 이모티콘을 다시 서버로 내보낸다. 공격자는 이 이모티콘을 받아 “명령이 잘 수행되고 있다”는 걸 인지하게 된다. 또한 명령이 성공적으로 실행되면 디스고모지가 초록색 네모 박스에 체크 표시가 된 모양의 이모티콘을 공격자에게 전송한다.
공격자가 명령을 내리기 위해 사용하는 이모티콘은 다음과 같다.
1) 🏃♂️ : 피해자의 장비에서 명령을 실행한다. 이 때 명령 수행을 위한 아규먼트를 따로 받는다.
2) 📸 : 피해자의 화면을 캡쳐해 서버로 업로드 한다.
3) 👇 : 피해자의 장비로부터 파일을 다운로드 받아 공격자의 서버로 업로드 한다.
4) ☝️ : 피해자의 장비에 파일을 심는다.
5) 👉 : 피해자 장비의 파일을 원격 파일 스토리지 서비스인 오시(Oshi)로 옮긴다.
6) 👈 : 피해자 장비의 파일을 또 다른 원격 파일 스토리지 서비스인 트랜스퍼(transfer.sh)로 옮긴다.
7) 🔥 : 공격자가 미리 정의한 내용에 해당하는 모든 파일을 찾아 공격자의 서버로 전송한다.
8) 🦊 : 피해자 장비 내 파이어폭스 프로파일들을 모두 압축해 공격자에게 전송한다.
9) 💀 : 멀웨어의 모든 프로세스를 종료시킨다.
캠페인은 어느 정도 시간 동안 진행된 것으로 보이며, 공격자들은 디스고모지를 몇 차례 업그레이드 한 것으로 추정된다. 볼렉시티가 확보한 샘플들에는 기능적인 차이가 있으며, 후속 버전으로 보이는 변종들의 경우 “디스고모지 프로세스 두 개 이상이 동시에 실행되지 않도록 조정되었으며, 서버 ID나 토큰 정보가 기존에는 하드코딩 되어 있었는데 지금은 동적으로 추출되며, 그 외 몇 가지 문자열이 추가됐다”고 볼렉시티는 설명한다.
피해자를 잘 아는 공격자들
볼렉시티는 이 공격이 매우 특이하다고 한다. 이모티콘을 사용해서가 아니라, 리눅스용 멀웨어가 피싱 이메일을 통해 유포되고 있기 때문이다. “리눅스용 멀웨어가 피싱 공격을 통해 퍼지는 건 극히 드문 일입니다. 메일을 확인하는 일상 업무를 리눅스 기반 시스템으로 하는 사용자가 드무니까요. 그렇다는 건 UTA0137이 리눅스 OS를 일상 업무에 활용하는 자들을 노리고 이번 공격을 실시했다고 볼 수 있습니다.” 볼렉시티의 설명이다.
마침 파키스탄 해커들이 자주 노리는 인도의 정부 기관들은 공무원들이 리눅스 기반 데스크톱을 업무에 활용하도록 하고 있다. 인도 정부는 공무에 사용하는 리눅스 OS를 기존 유명 배포판에서 선택하지 않고 커스터마이징 하고 있는데, 이렇게 탄생한 인도 정부 기관용 리눅스 배포판은 보스(BOSS)라고 한다. 볼렉시티는 디스고모지 멀웨어와 피싱 공격, 그리고 인도 정부의 보스라는 세 가지 요소가 우연히 겹친 거라고 보지 않는다. “리눅스용 멀웨어를 피싱 공격으로 퍼트렸는데, 마침 가장 많은 피해를 입은 곳이 리눅스를 쓰고 있었다? 저희는 고도의 표적 공격이 실시된 것으로 보고 있습니다.”
게다가 조사를 하면서 볼렉시티는 또 다른 증거를 확보하는 데 성공했다. UTA0137이 더티파이프(DirtyPipe)라는 취약점 익스플로잇을 이번 캠페인에 활용했다는 것이다. 더티파이프는 CVE-2022-0847이라는 권한 상승 취약점을 노리는 것으로, 역시 보스 기반 시스템을 겨냥하고 있다. “꽤나 오래 전에 발견된 취약점이 아직도 악용되고 있었습니다. 이번 캠페인의 피해 규모는 아직 정확히 집계되지 않습니다만 공격자들이 적잖은 정보를 빼돌린 것으로 강하게 추정됩니다.”
3줄 요약
1. 파키스탄의 공격자들, 인도 정부 기관 노리고 공격.
2. 이 때 새로운 리눅스용 멀웨어를 동원함.
3. 인도 정부의 특성을 잘 아는 자들이 기획한 공격으로 추정됨.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 파키스탄의 해커들이 인도 정부 기관을 노리고 사이버 공격을 실시한 것으로 보인다. 이 공격에서 파키스탄 해커들은 새로운 리눅스 멀웨어를 활용했는데, 이 멀웨어는 이모티콘을 공격용 명령어로 사용한다는 특징을 가지고 있다. 보안 업체 볼렉시티(Volexity)는 이 공격자들을 UTA0137이라는 이름을 추적하고 있으며, 이번 캠페인과 관련된 세부 내용을 자사 블로그를 통해 공개했다.
[이미지 = gettyimagesbank]
감염의 순서
큰 틀에서 보면 이번 캠페인은 기존의 APT 공격과 그리 다를 게 없다. 공격은 피싱 이메일의 첨부파일로부터 시작한다. 첨부파일은 집(zip)으로 압축된 것으로, 압축을 해제하면 ELF 파일이 추출된다. 이 ELF 파일은 고 언어로 작성되었으며, 원격 서버에서부터 DSOP.pdf라는 파일 하나를 다운로드 한다고 볼렉시티는 설명한다. “DSOP은 인도의 ‘방위군 장교 지원금(Defence Service Officer Provident Fund)’의 준말이며, 이 PDF 문건에는 악성 요소가 없습니다. 공격을 진행하는 동안 화면에 띄우는 용도의 파일입니다.”
그 다음 이 ELF 파일은 다음 단계의 페이로드를 다운로드 한다. 이 파일의 이름은 vmcoreinfo이며, 위에서 언급한 새 리눅스 멀웨어인 디스고모지(DISGOMOJI)의 인스턴스에 해당한다. 디스고모지도 고 언어로 작성된 ELF 파일 형태로 피해자 시스템에 올라탄다. 그러면서 설계된 악성 기능을 실시하여 피해를 입힌다.
볼렉시티의 설명에 따르면 디스고모지는 디스코드c2(discord-c2)라는 프로젝트를 커스터마이징 한 변종이라고 한다. 디스코드c2는 디스코드를 일종의 C&C 서버로 활용하는 프로젝트라고 이해하면 된다. 공격자들이 이미 존재하던 프로젝트를 가져다가 자신들의 목적에 맞게 만든 멀웨어가 디스고모지인 것이다. 디스코드c2의 특징은 각 피해자와 연결되는 디스코드 채널을 생성해 C&C 서버로 쓴다는 건데, 디스고모지도 이 특징을 계승한다. 피해자마다 고유의 C&C 서버를 가지고 있게 된다.
이 서버들로 디스고모지는 여러 가지 정보를 보내고 저장시킨다. 볼렉시티가 분석한 바에 따르면 여기에는 다음과 같은 정보들이 포함되어 있다고 한다.
1) 내부 IP 주소
2) 사용자 이름
3) 호스트 이름
4) OS 정보
5) 현재 작업용 디렉토리
대부분의 멀웨어들은 시스템을 재부팅하면 사라지는데, 디스고모지는 그렇지 않다. 리눅스의 스케줄러 기능인 크론(cron)을 활용하여 지속성을 확보하기 때문이다. 이는 많은 리눅스용 멀웨어의 특징이기도 하다. 공격을 지속하던 디스고모지는 어느 시점에서 uevent.seqnum.sh라는 파일을 다운로드 받아 실행시키는데, 이 스크립트의 기능은 피해자의 장치에 USB 드라이브가 꽂혀 있는지 확인하고, 있다면 USB로부터 파일을 복사해 로컬 폴더로 옮기는 것이다. 그리고 후속 공격에 이 파일들을 활용한다.
이모티콘을 명령어로
흥미로운 건 공격자들이 C&C 서버에서부터 디스고모지로 이모티콘들을 전달해 여러 기능을 수행한다는 것이다. 디스고모지가 이 명령을 받아 처리하면 시계 모양 이모티콘을 다시 서버로 내보낸다. 공격자는 이 이모티콘을 받아 “명령이 잘 수행되고 있다”는 걸 인지하게 된다. 또한 명령이 성공적으로 실행되면 디스고모지가 초록색 네모 박스에 체크 표시가 된 모양의 이모티콘을 공격자에게 전송한다.
공격자가 명령을 내리기 위해 사용하는 이모티콘은 다음과 같다.
1) 🏃♂️ : 피해자의 장비에서 명령을 실행한다. 이 때 명령 수행을 위한 아규먼트를 따로 받는다.
2) 📸 : 피해자의 화면을 캡쳐해 서버로 업로드 한다.
3) 👇 : 피해자의 장비로부터 파일을 다운로드 받아 공격자의 서버로 업로드 한다.
4) ☝️ : 피해자의 장비에 파일을 심는다.
5) 👉 : 피해자 장비의 파일을 원격 파일 스토리지 서비스인 오시(Oshi)로 옮긴다.
6) 👈 : 피해자 장비의 파일을 또 다른 원격 파일 스토리지 서비스인 트랜스퍼(transfer.sh)로 옮긴다.
7) 🔥 : 공격자가 미리 정의한 내용에 해당하는 모든 파일을 찾아 공격자의 서버로 전송한다.
8) 🦊 : 피해자 장비 내 파이어폭스 프로파일들을 모두 압축해 공격자에게 전송한다.
9) 💀 : 멀웨어의 모든 프로세스를 종료시킨다.
캠페인은 어느 정도 시간 동안 진행된 것으로 보이며, 공격자들은 디스고모지를 몇 차례 업그레이드 한 것으로 추정된다. 볼렉시티가 확보한 샘플들에는 기능적인 차이가 있으며, 후속 버전으로 보이는 변종들의 경우 “디스고모지 프로세스 두 개 이상이 동시에 실행되지 않도록 조정되었으며, 서버 ID나 토큰 정보가 기존에는 하드코딩 되어 있었는데 지금은 동적으로 추출되며, 그 외 몇 가지 문자열이 추가됐다”고 볼렉시티는 설명한다.
피해자를 잘 아는 공격자들
볼렉시티는 이 공격이 매우 특이하다고 한다. 이모티콘을 사용해서가 아니라, 리눅스용 멀웨어가 피싱 이메일을 통해 유포되고 있기 때문이다. “리눅스용 멀웨어가 피싱 공격을 통해 퍼지는 건 극히 드문 일입니다. 메일을 확인하는 일상 업무를 리눅스 기반 시스템으로 하는 사용자가 드무니까요. 그렇다는 건 UTA0137이 리눅스 OS를 일상 업무에 활용하는 자들을 노리고 이번 공격을 실시했다고 볼 수 있습니다.” 볼렉시티의 설명이다.
마침 파키스탄 해커들이 자주 노리는 인도의 정부 기관들은 공무원들이 리눅스 기반 데스크톱을 업무에 활용하도록 하고 있다. 인도 정부는 공무에 사용하는 리눅스 OS를 기존 유명 배포판에서 선택하지 않고 커스터마이징 하고 있는데, 이렇게 탄생한 인도 정부 기관용 리눅스 배포판은 보스(BOSS)라고 한다. 볼렉시티는 디스고모지 멀웨어와 피싱 공격, 그리고 인도 정부의 보스라는 세 가지 요소가 우연히 겹친 거라고 보지 않는다. “리눅스용 멀웨어를 피싱 공격으로 퍼트렸는데, 마침 가장 많은 피해를 입은 곳이 리눅스를 쓰고 있었다? 저희는 고도의 표적 공격이 실시된 것으로 보고 있습니다.”
게다가 조사를 하면서 볼렉시티는 또 다른 증거를 확보하는 데 성공했다. UTA0137이 더티파이프(DirtyPipe)라는 취약점 익스플로잇을 이번 캠페인에 활용했다는 것이다. 더티파이프는 CVE-2022-0847이라는 권한 상승 취약점을 노리는 것으로, 역시 보스 기반 시스템을 겨냥하고 있다. “꽤나 오래 전에 발견된 취약점이 아직도 악용되고 있었습니다. 이번 캠페인의 피해 규모는 아직 정확히 집계되지 않습니다만 공격자들이 적잖은 정보를 빼돌린 것으로 강하게 추정됩니다.”
3줄 요약
1. 파키스탄의 공격자들, 인도 정부 기관 노리고 공격.
2. 이 때 새로운 리눅스용 멀웨어를 동원함.
3. 인도 정부의 특성을 잘 아는 자들이 기획한 공격으로 추정됨.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
