Linux 사용자를 대상으로 한 라자루스의 '드림잡 작전' 캠페인
ESET은 '드림잡 작전'의 일환으로 새로운 라자루스 캠페인을 발견했으며, 이는 Linux 사용자를 노리는 멀웨어의 첫 번째 사례이자 라자루스가 최근 VoIP 사업자 3CX에 대한 공급망 공격에 가담한 것을 확인했습니다.
누크스페드라고도 알려진 라자루스의 "드림잡 작전" 캠페인은 소프트웨어 또는 디파이 시스템에 종사하는 사람들을 대상으로 하는 지속적인 작전입니다. 이 소셜 엔지니어링 공격은 LinkedIn과 같은 전문 네트워킹 사이트에서 가짜 구인 제안으로 피해자를 유혹하는 방식으로 이루어집니다.
공격자들은 철저한 직무 설명이 포함된 것처럼 보이지만 실제로는 멀웨어가 포함된 파일인 허위 문서를 전문적으로 작성합니다. 공격의 결과로 여러 회사가 해킹을 당했는데, 그 이유는 트로이 목마 버전의 3CX 클라이언트를 설치하여 정보를 탈취하는 트로이 목마가 배포되었기 때문입니다.
라자루스의 Linux 중심 공격에 대한 ESET의 조사 결과, 위협 행위자는 스피어피싱 또는 링크드인의 쪽지를 통해 "HSBC 구인 제안.pdf.zip"이라는 제목의 기만적인 ZIP 압축 파일을 배포한 것으로 밝혀졌습니다. 이 압축 파일 안에는 Go로 코딩된 Linux 바이너리가 숨겨져 있습니다. 악의적인 공격자는 파일 이름에 유니코드 문자를 사용하여 의심하지 않는 피해자를 속이기 위해 PDF로 위장합니다. 파일 이름에 U+2024 유니코드 문자로 표시되는 리더 점을 사용하는 것은 파일 관리자가 파일을 PDF가 아닌 실행 파일로 취급하도록 속여 PDF 뷰어로 여는 대신 더블 클릭 시 실행되도록 하기 위한 시도일 가능성이 높다고 ESET은 설명합니다.
파일을 실행하면 "OdicLoader"라고 불리는 이 멀웨어는 미끼 PDF를 표시하여 피해자의 주의를 끄는 동시에 OpenDrive 클라우드 서비스에서 호스팅되는 비공개 저장소에서 2단계 멀웨어 페이로드의 다운로드를 시작하도록 유도합니다. 2단계 페이로드인 "SimplexTea"로 알려진 C++ 백도어는 "~/.config/guiconfigd. SimplexTea." 또한 OdicLoader는 사용자의 ~/.bash_profile을 변경하여 새 셸 세션이 시작될 때마다 SimplexTea가 Bash로 실행되고 출력이 음소거되도록 합니다.
이 악성코드를 클릭하면 OdicLoader라는 이름의 악성코드가 백그라운드에서 페이로드를 다운로드하는 동안 가짜 PDF를 표시하며, ESET의 추가 검사 결과 Linux VMware 가상 머신을 표적으로 삼는 것으로 보입니다.
이 글의 출처는 위라이브시큐리티의 기사입니다.