이모티콘을 활용해 해킹하는 신종 리눅스 악성코드 등장

위협 행위자들은 보안 조치를 우회하고 취약점을 악용하기 위해 끊임없이 혁신하고 있다. 최근 발견된 '디스고모지(DISGOMOJI)'라는 악성코드는 특히 독창적이고 흥미로운 접근법을 통해 주목받고 있다. 이 악성코드는 리눅스 시스템을 대상으로 하며, 디스코드(Discord)와 이모티콘을 이용한 명령 및 제어(C2) 메커니즘을 통해 감염된 장치를 제어한다.

사이버 보안 기업 볼렉시티(Volexity)에 의해 발견된 디스고모지는 파키스탄 기반의 위협 행위자인 UTA0137과 연관되어 있다. 이 그룹은 주로 인도의 정부 기관을 대상으로 한 사이버 첩보 활동에 참여하고 있다. 명령 실행에 이모티콘을 사용하는 것은 전례 없는 방법으로, 기존의 텍스트 기반 C2 통신을 사용하는 악성코드와는 큰 차이를 보인다.

감염 경로 및 초기 페이로드

디스고모지는 ZIP 압축 파일 내 UPX로 패킹된 ELF 실행 파일을 포함한 피싱 이메일을 통해 배포된다. 실행되면, 인도의 국방 서비스 장교 퇴직금 관련 PDF를 미끼로 표시하면서 백그라운드에서 추가 페이로드를 배포한다.

디스고모지는 감염된 시스템에서 지속성을 유지하기 위해 여러 가지 방법을 사용한다. 주요 기법으로는 @reboot 크론 명령을 사용해 시스템 시작 시 악성코드를 실행하는 방법이 있다. 대체 방법으로는 XDG 자동 시작 항목과 uevent_seqnum.sh 스크립트를 사용해 USB 드라이브를 대상으로 데이터를 탈취하는 방법도 있다.

디스고모지의 특징은 오픈소스 프로젝트인 discord-c2를 활용해 디스코드를 C2 플랫폼으로 사용하는 것이다. 이 악성코드는 공격자가 제어하는 디스코드 서버에 연결되어 특정 이모지 기반 명령을 대기한다. 아홉 개의 이모지가 다양한 명령을 나타내며, 이를 통해 쉘 명령 실행, 스크린샷 촬영, 파일 탈취 등의 작업을 수행한다.

프로토콜은 명령을 처리할 때 "시계" 이모티콘으로 반응하고, 완료 후 "체크 마크 버튼" 이모티콘으로 응답하는 방식이다. 이러한 독창적인 방법은 문자열 기반 명령을 스캔하는 기존 보안 소프트웨어를 회피하는 데 도움을 준다.

이모티콘을 사용한 C2 통신은 사이버 보안 방어에 어려움을 가중시킨다. 전통적인 서명 기반 탐지 시스템은 비표준 통신 방법을 사용하는 위협을 식별하고 완화하는 데 어려움을 겪을 수 있다. 또한, 디스코드와 같은 대중적인 플랫폼을 활용하기 때문에 탐지 및 대응 노력을 더욱 복잡하게 만든다.

디스고모지의 접근 방식은 독창적이지만, 최근 악성코드 트렌드는 탐지를 회피하고 운영 보안을 강화하기 위해 비전통적인 방법을 선호하고 있다. 예를 들어, 보테나고(BotenaGo) 봇넷은 33개 이상의 취약점을 악용하여 IoT 장치를 공격하며, 탐지가 어려운 고랑 페이로드를 활용한다​. 또한, SSH-스네이크(SSH-Snake) 악성코드는 SSH 키를 탈취하고 네트워크 내에서 이동하는 데 정교한 기술을 사용한다​​.

사이버 위협 방어가 개선됨에 따라, 이를 우회하려는 전술도 끊임없이 발전하고 있다. 디스고모지의 발견은 알려진 위협뿐만 아니라 새로운 공격 벡터를 예상하고 완화할 수 있는 동적이고 창의적인 보안 조치가 필요하다는 것을 보여주고 있다.

※위 포스팅이 문제될 경우 삭제하겠습니다.
출처 : https://www.dailysecu.com/news/articleView.html?idxno=156885